Aktuelle Beiträge aus dem Bereich PHP Programmabsicherung



Werbung


Mit phpass Passwörter in eigenen PHP Anwendungen richtig verschlüsseln

Mit PHP verschlüsseln

Die altbekannte md5() Verschlüsselung in PHP ist nicht mehr sicher, das dürfte nun bekannt sein. Es gibt Serverfarmen, mit denen md5-Hashes von “relativ schnell” bis “mit dem richtigen Cluster errechenbar” knackbar sind. Hierzu werden bereits Clouds benutzt, wie beispielsweise Amazons AWS. Besser ist es, gehashte Passwörter zusätzlich zu “salzen” – mehrfach zuverschlüsseln. Somit wird ein zurückrechnen oder erraten um ein vielfaches erschwert. Eine fertige PHP Bibliothek bietet sich hier an: phpass.

Werbung

SQL Injections bei MySQL verhindern

Bei jeder Übergabe von IDs oder ganzen Worten kann ein Angreifer bei nicht überlegter Programmierung SQL-Code einschleusen, der durch den Query mit ausgeführt wird und somit Schaden in den Datenbanken ausnutzt oder ganze Datenbanken löschen.

include() Funktion auf Injections prüfen

Viele PHP Skripte arbeiten mit dem include() Befehl, um bestimmte PHP Bereiche nachzuladen und auszuführen. Der include() Befehl läd die Datei, die in der Klammer angegeben wurde, nach und führt den darin enthaltenen Code lokal auf dem Server mit den rechten des Webserver-Dienstes aus.

open_basedir() zum Einsperren der Webseiten

Passwörter auslesen, in Systembereichen schreiben – das alles können PHP Skripte. Meist aber ungewollt. Ein beliebter Weg, um Hacker Tür und Tor von Servern zu öffnen, sind fehlerhafte Programmierungen von PHP Skripten, die dem Angreifer sämtliche Rechte auf dem gesamten Dateisystem einräumen.

Die kann man mit einem simplen Befehl verhindern. open_basedir definiert die Umgebung, in dem das PHP Skript arbeiten darf.