Kommentare zu: 10 Mythen zum Thema Web Security

Von: Maik

Maik — Mon, 01 Nov 2010 14:20:30 +0000

@Manuel

Das kommt immer darauf an, ob sich die verwundbare Variable innerhalb eines Strings befindet. Wenn ja, kann mysql_real_escape_string() nur in bestimmten Fällen umgangen werden (z.B. mit %bf5c wenn die Variable anschließend nochmal durch urldecode() gejagt wird).

Bei Punkt 7 meinte ich vor allem Numeric SQL Injection… da kann man Strings mit Hexadezimal-Werten, CHAR(), etc. umgehen. Und da hast du natürlich recht – das funktioniert genau so gut bei mysql_real_escape_string()

Ich hab mich vielleicht etwas unverständlich ausgedrückt…

Von: Manuel

Manuel — Thu, 28 Oct 2010 10:19:29 +0000

Hallo,

erstmal ein Lob, sehr sehr interessanter Artikel und Blog allgemein.
Eine Frage hätte ich noch zum Punkt 7 “magic_quotes”

Dort schreibst Du das man die mit Hexadezimal-Werten umgehen kann.
Das leuchtet mir soweit ein, aber hat das selbe Problem nicht auch mysql_real_escape_string ? Dort könnte man doch mit Hexwerten trotzdem noch Schadecode einschleusen … oder (wieso) nicht?

Viele Grüße

Von: ntagas

ntagas — Fri, 24 Sep 2010 11:25:23 +0000

Interessanter post, die Sicherheitslücken im Web sind enorm. Ich bin grad dabei mich in diesem Gebiet weiterzubilden. Die Tipps sind super, hat vielleicht jemand eine Empfehlung, ein E-Book oder eine Buch wo ich die Security Methoden nachlesen kann ?

Von: Squizzel

Squizzel — Sun, 23 May 2010 18:39:51 +0000

Hi!
Sehr interessanter Artikel.
“Cross-Site Scripting (XSS) Sicherheitslücken sind harmlos” und das sagen Experten. Als ich das gelesen hab war ich sprachlos. Mit XSS werden doch die meisten Vergehen begangen. Pfishing oder das Einschleusen von Code. Manman viele Leute sind scheinbar immer noch sehr leichtgläubig. Aber habe ich bei meinen Recherchen auch schon bemerkt. Die Leute denken echt, sie sind sicher. Naja hoffe deinen Artikel lesen ein paar Leute und werden sich bewusst, dass Sicherheit von Webseiten ein wichtiges Thema ist. Hab das in meinem Blog auch behandelt und Maßnahmen für sichere Websites beschrieben.

Gruß

Von: Maik

Maik — Wed, 30 Dec 2009 21:10:14 +0000

Hallo, danke für’s Feedback. @Dominik: Dein Blog kommt mir bekannt vor Stimme dir zu, manche Provider kümmern sich absolut nicht um die Sicherheit der Server. Darüber wollte ich auch noch einen Artikel schreiben (Shared Hosting).

Von: Dominik (elexpress.de)

Dominik (elexpress.de) — Wed, 30 Dec 2009 20:31:31 +0000

Schöne Zusammenstellung. Deinen Blog habe ich erstmal in meinem Feedreader eingetragen. Einen ähnlichen Artikel über Websecurity habe ich auch schon einmal geschrieben und dabei einige hilfreiche PHP Funktionen aufgezählt ( http://www.elexpress.de/archiv.....masnahmen/ ). Ganz erschrocken war ich aber damals, als ich herausfand, dass ich auf meinem alten Webspace (Provider inzwischen gewechselt) Shell über PHP mit shell_exec() ausführen konnte.

Von: crushedberry

crushedberry — Mon, 21 Dec 2009 20:39:20 +0000

Schöner Artikel, wobei ich den Großteil schon kenne. Anfänger können da aber definitiv ein paar Sachen gebrauchen.