Hva er typisk sikkerhetshull i PHP ?

[spikre]

Jeg jobber med en artikkel vedr. sikkerhetshull og -farer ved bruk av sensitiv informasjon på internett.
- Noen som har noen faktorer som kan være relevante (sikkerhet)?
- Hva er de typiske programmeringsfeilene (helst php) som gjøres på dagens nettsider, som skaper utrygg bruk osv?
- Jeg har også en del vedr. all bruken av open source, men har egentlig nok info og poenger her. Om du har noe spesielt å bidra med, er jeg interessert!

På forhånd takk for alle tips!

 

[clinton4]

Den største og mest vanlige feilen er å ikke validere data som brukes i spørringer, og som kommer direkte fra en besøkende/bruker. Denne gjelder for det meste for nybegynnere. En erfaren programmerer bruker ikke brukerdata i en spørring.

 

[Jiberish]

En erfaren programmerer bruker ikke brukerdata i en spørring.

Huh? Hvordan får man da logget på forskjellige sider?

 

[clinton4]

Huh? Hvordan får man da logget på forskjellige sider?

Var kanskje litt streng der , men i de tilfellene det er mulig å unngå å bruke brukerdata i en spørring, så er det alltid det tryggeste.

 

[Jiberish]

Var kanskje litt streng der , men i de tilfellene det er mulig å unngå å bruke brukerdata i en spørring, så er det alltid det tryggeste.

Enig!

 

[Sjefskoder]

Hallojs!

Når det gjelder dette med sikkerhet er den en zilliard saker du kan gjøre..

Som nevnt er validering alfa & omega..
En huskeregel er å sjekke alt som sjekkes kan + stille krav til disse + kryptering av sensitive data..

* Sjekk alt fra lengde på telefonnummer til e-postadresse..
* Sjekk om noe av det brukeren prøver å registrere allerede er registrert (e-post, telefonnummer, adresse.. osv, osv)..
* Krypter, krypter, krypter data før lagring..

+ Tillat kun e-postadresse som brukernavn (siden dette så godt som aldri glemmes )..
+ IKKE la brukeren velge sitt eget passord, dette skal genereres automatisk..

Er mye du kan og mye du burde tenke på når det kommer til sikkerhet og bruker-tilgang..

Ta f.eks dette med innlogging til ett system ::

Brukernavn = e-postaddresse !
Passord = SMS-kode !

1 :Når personen skriver inn sin e-postaddresse så krypterer du denne og sjekker om epostadressen er registrert (ja, den skal være kryptert i DB'n ) og er den det, så genereres en kode som du krypterer og lagrer i db'n. også sender du personen videre til f.eks : SmsCodeValidation.php med et felt for passord..

2: Send den samme kode ukryptert pr. sms til brukerens registrerte mobilnummer, som han må skrive inn i ett kode-felt..

3: Når denne koden skrives inn krypterer du denne før du sjekker den mot den lagrede (krypterte) koden i db'n.


.............

Dette er èn måte å gjøre innlogging litt sikrere..

Finnes mange måter å gjøre det på og dette var èn

/S

 

[Nutz]

Kreve at bruker oppgir telefonnummer for registrering er en måte å gå glipp av medlemmer.
Kommer selvfølgelig an på hvilken type nettside man har.
-Dessuten har ikke denne valideringsprosessen noe med PHP-sikkerhetshull noe å gjøre, men mer for å identifisere bruker.
Sende passord på e-post er heller ikke et sikkerhetshull som man kan knytte til PHP.

 

[Pong]

Det som sjef nevner ser ikke ut til å ha spesifikt med php å gjøre.
Men register_globals kan fort skape problemer - hvis det er slått på.

Du kan sikkert finne noe her: PHP Security Consortium: PHP Security Guide: Overview
Og ikke minst her: http://bugs.php.net/