Kommentare zu: 25 gefährlichste Programmierfehler

Von: Brix

Brix — Sun, 12 Dec 2010 16:37:59 +0000

Hab mich beim Durchlesen ein paar mal selbst ertappt
gut zu Denken gegeben…
Danke für die "Übersetzung"

Von: 25 Programmierfehler | CodersX Webblog

25 Programmierfehler | CodersX Webblog — Thu, 12 Aug 2010 14:43:36 +0000

[...] nicht über die Liste berichten, als ich davon auf heise.de gelesen hab. Allerdings hat sich der phpperformance Blog doch einige Mühe gegeben, das ganze auf PHP und [...]

Von: Stefan

Stefan — Sat, 13 Feb 2010 17:38:56 +0000

Das stammt aus der Zeit, als register_globals noch aktiv war – und ist auch heute noch relevant, da es teilweise noch aktiv ist. Durch diese Einstellung werden sämtliche Parameter (get, post, cookie) direkt auf Variablen abgebildet.
Nehmen wir als Beispiel, dass du eine Variable $admin hast, die true ist, falls ein Administrator eingeloggt ist. Du checkst also den login, falls du einen user finden kannst checkst du ob er ein Admin ist und setzt dann $admin = true;
Nehmen wir jetzt den Fall, dass kein user eingeloggt ist – dann kommst du an dem $admin = true nie vorbei, deine Applikation funktioniert aber nach wie vor, da beim Testen (also, if ($admin) // give a lot of rights) der undefinierte Wert als false gewertet wird.
Alles wunderbar.
Jetzt komme ich böser Mensch, und rufe deine Seite mit einem zusätzlichen Get-Parameter auf: http://www.cool-site.com/Delete-All.php?admin=1
Dank register global steht damit eine Variable $admin mit Wert 1 zur Verfügung, niemand ist eingeloggt, also wird diese 1 nie verändert (da die Variable nicht mit false initialisiert wird) – und prompt führe ich die Operation im Admin-Modus aus.

Von: Michael

Michael — Sat, 13 Feb 2010 16:12:16 +0000

Danke für die hilfreiche Liste!

Warum allerdings Punkt 17 (fehlende Initialisierung von Variablen) ein Problem sein soll, verstehe ich nicht.

Siehe dazu auch http://de.wikibooks.org/wiki/Websiteentwicklung:_PHP:_Variablen#Initialisierung

Von: Die WEB-Architektin bloggt...

Die WEB-Architektin bloggt... — Fri, 23 Oct 2009 12:51:47 +0000

10 Punkte für eine sichere Website…

Jochen Weiland hat im T3N-Magazin 15 eine Checkliste für sichere Typo3-Anwendungen veröffentlicht. Davon habe ich mich zu einer allgemeinen Checkliste für sichere Websites inspirieren lassen (und dabei ist es egal, ob und welches CMS-, B…

Von: Michael

Michael — Wed, 28 Jan 2009 19:39:18 +0000

Man sollte mal die ganzen Open Source Programme (z.B. von Sourceforge und Co.) automatisiert nach solchen Problemen durchsuchen. mich würde mal interessieren, wie viele Programme Fehlerfrei durchkommen.

Von: Jan

Jan — Wed, 21 Jan 2009 06:54:18 +0000

@workerholic: Richtig, nur welche Blogs beschäftigen sich hauptsächlich mit der Sicherheit von PHP-Anwendungen und -Umgebungen? Wäre schön, wenn Du da einige nennen könntest, dann würde mein Feedreader mal wieder etwas voller. Danke schonmal.

Von: workerholic

workerholic — Tue, 20 Jan 2009 23:48:24 +0000

das Buch habe ich auch im Schrank liegen, ganz ehrlich hat es nicht so viel gebracht, ich glaube wenn man genug in Blogs und auf den Seiten unterwegs ist wo entwickelt wird, ist man mehr auf dem laufenden! vielleicht eher ne kurze zusammenfassung!

Von: Markus

Markus — Fri, 16 Jan 2009 08:12:15 +0000

Die Liste kannte ich bereits (heise sei dank) aber in der übersetzt lässt sie sich doch einiges besser lesen, Danke dafür!

Von: Sören

Sören — Thu, 15 Jan 2009 08:51:49 +0000

@Stefan

weiteren Ergänzug zu 1) und deinen Ergänzungen:

Diverse $_SERVER-Variablen müssen auch geprüft werden. Auf jeden Fall der User-Agent und der Referer sowie natürlich die Variablen, welche dir URL und somit GET-Variablen enthalten. Ob auch die Accept-Variablen hängt vermutlich vom Server ab, da es gut sein kann, dass Anfragen, die nicht HTTP konform sind, von vorne herein abgelehnt bzw. mit Defaultwerten belegt werden.