Kommentare zu: Sichere Formulare – Teil 1 http://www.web-tuts.de/sichere-formulare-teil-1.html Tutorials für neue und professionelle Webworker! Wed, 03 Nov 2010 21:20:22 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Von: Maik http://www.web-tuts.de/sichere-formulare-teil-1.html#comment-1325 Maik Mon, 01 Nov 2010 13:31:08 +0000 http://www.web-tuts.de/?p=472#comment-1325 @Manuel Der Angreifer könnte ganz einfach eine manipulierte Seite erstellen, wo das Formular mit dem Schadcode in einem "unsichtbaren" Frame abgeschickt wird. @Manuel

Der Angreifer könnte ganz einfach eine manipulierte Seite erstellen, wo das Formular mit dem Schadcode in einem “unsichtbaren” Frame abgeschickt wird.

]]> Von: Manuel http://www.web-tuts.de/sichere-formulare-teil-1.html#comment-1309 Manuel Thu, 28 Oct 2010 10:44:14 +0000 http://www.web-tuts.de/?p=472#comment-1309 Hi, warum schickst Du die Variable $name schon durch htmlentities um Sie im "Value" Attribute zu nutzen? So wie ich dass sehe ist "name nur gesetzt, wenn das Formular nicht vollständig bzw. Fehlerhaft abgeschickt wurde. In der Korrektur bekommt man dann seine bisher eingegeben Werte angezeigt. Das heißt sollte $name Schadcode enthalten bekommt es auch nur der Angreifer gezeigt. Er hat ja an dieser Stelle noch keine Möglichkeit eine URL mit Schadecode zu verbreiten. Oder sehe ich das falsch? Hi,

warum schickst Du die Variable $name schon durch htmlentities um Sie im “Value” Attribute zu nutzen?

So wie ich dass sehe ist “name nur gesetzt, wenn das Formular nicht vollständig bzw. Fehlerhaft abgeschickt wurde. In der Korrektur bekommt man dann seine bisher eingegeben Werte angezeigt.

Das heißt sollte $name Schadcode enthalten bekommt es auch nur der Angreifer gezeigt. Er hat ja an dieser Stelle noch keine Möglichkeit eine URL mit Schadecode zu verbreiten.

Oder sehe ich das falsch?

]]> Von: Ralf http://www.web-tuts.de/sichere-formulare-teil-1.html#comment-1048 Ralf Wed, 01 Sep 2010 09:50:58 +0000 http://www.web-tuts.de/?p=472#comment-1048 Gute Tipps für die, die sich mit Programmierung für Internet / Webdesign auskennen. Selten wird so gut auf Sicherheitsaspekte eingegangen und kommentiert wie hier. Im Web finden sich leider viele andere Php-"Tipps?", die sämtliche Sicherheitsaspekte vernachlässigen. Gute Tipps für die, die sich mit Programmierung für Internet / Webdesign auskennen. Selten wird so gut auf Sicherheitsaspekte eingegangen und kommentiert wie hier.

Im Web finden sich leider viele andere Php-”Tipps?”, die sämtliche Sicherheitsaspekte vernachlässigen.

]]> Von: Maik http://www.web-tuts.de/sichere-formulare-teil-1.html#comment-176 Maik Fri, 08 Jan 2010 14:14:10 +0000 http://www.web-tuts.de/?p=472#comment-176 Zu deiner Frage, ob Header-Injection im dritten Parameter möglich ist: Durch einige Bugs in alten PHP Versionen könnte das möglich sein. Zu deiner Frage, ob Header-Injection im dritten Parameter möglich ist: Durch einige Bugs in alten PHP Versionen könnte das möglich sein.

]]> Von: Maik http://www.web-tuts.de/sichere-formulare-teil-1.html#comment-175 Maik Fri, 08 Jan 2010 14:05:20 +0000 http://www.web-tuts.de/?p=472#comment-175 Hi, grundsätzlich sollte jeder Parameter der mail() Funktion gefiltert werden, wenn er Daten von Außen enthält. Wenn man den dritten Parameter nicht filtert, könnten durch einige Tricks immer noch Sicherheitslücken ausgenutzt werden. Hi, grundsätzlich sollte jeder Parameter der mail() Funktion gefiltert werden, wenn er Daten von Außen enthält. Wenn man den dritten Parameter nicht filtert, könnten durch einige Tricks immer noch Sicherheitslücken ausgenutzt werden.

]]> Von: Eric http://www.web-tuts.de/sichere-formulare-teil-1.html#comment-165 Eric Thu, 07 Jan 2010 20:02:23 +0000 http://www.web-tuts.de/?p=472#comment-165 Hey. Ist es wirklich notwendig den dritten Parameter der mail function zu maskieren/filtern? Durch den ist doch keine header injection möglich oder? Hey. Ist es wirklich notwendig den dritten Parameter der mail function zu maskieren/filtern?

Durch den ist doch keine header injection möglich oder?

]]> Von: Sichere Formulare - Teil 2 » File Uploads, Security, CAPTCHA, Kontaktformular « Web Tuts http://www.web-tuts.de/sichere-formulare-teil-1.html#comment-120 Sichere Formulare - Teil 2 » File Uploads, Security, CAPTCHA, Kontaktformular « Web Tuts Wed, 30 Dec 2009 06:43:22 +0000 http://www.web-tuts.de/?p=472#comment-120 [...] BlogÜber unsKontakt 30. Dezember 2009 « Sichere Formulare – Teil 1 [...] [...] BlogÜber unsKontakt 30. Dezember 2009 « Sichere Formulare – Teil 1 [...]

]]> Von: t3n.de/socialnews http://www.web-tuts.de/sichere-formulare-teil-1.html#comment-95 t3n.de/socialnews Tue, 22 Dec 2009 05:43:24 +0000 http://www.web-tuts.de/?p=472#comment-95 <strong>Sichere Formulare - Teil 1...</strong> In diesem Artikel geht es um das Thema Formularsicherheit. Schutz vor XSS, Full Path Disclosure, Mail-Header Injection. Teil 1 von 2.... Sichere Formulare – Teil 1…

In diesem Artikel geht es um das Thema Formularsicherheit. Schutz vor XSS, Full Path Disclosure, Mail-Header Injection. Teil 1 von 2….

]]>