P
Programmer78
Doppel-As
Hallo miteinander,
habe eine kleine Webseite (4 Jahre statisch, keine Sicherheitsprobleme bisher) und ich frage mich, wie sicher die Verwendung von PHP auf einer Webseite ist.
Beschäftige mich seit kurzer Zeit mit PHP (viel zu lange hinausgezögert das ganze) und möchte damit nun Funktionen hinzufügen.
Für Apache2 gibt es ja Sicherheitsmodule, womit man php zusätzlich absichern kann. Ich glaube snort hat auch einige Filter parat um auf ungewünschte PHP-Aktionen zu reagieren (im Log).
1. Ich habe gelesen, dass Formulareingaben "gefiltert" werden müssen, damit kein Code eingeschleust werden kann. Soweit klar. Gibt es, wie bei der Shellshock-Lücke z.B., ähnliche Varianten um php-Code einzuschleusen? Ich nehme derzeit (fälschlicher Weise bestimmt) gerade nur das Formular als einzige Schnittstelle zum System an.
2. Wenn Eingaben gefiltert werden und alphamumerisch bleibt über und wird per post oder get übertragen, kann dort nicht schon Code eingetragen werden, der bereits den Filter stört?
3. Das wären schon alle Ideen die ich hätte, gibt es sonst noch PHP-Angriffe, die ich absichern muss?
Bemerkung: Ich verwende kein CMS/PHP bisher, alles html mit css. Keine Schnittstellen zum System, solange der Apache sicher ist.
Über ein paar Stichwörter wäre ich schon froh. Vielleicht eine Webseite, die sich nur damit befasst. Die Seiten die ich gefunden habe, reißen das Thema nur ganz kurz an. Nichts tiefgründiges.
Danke
Gruß
P.
habe eine kleine Webseite (4 Jahre statisch, keine Sicherheitsprobleme bisher) und ich frage mich, wie sicher die Verwendung von PHP auf einer Webseite ist.
Beschäftige mich seit kurzer Zeit mit PHP (viel zu lange hinausgezögert das ganze) und möchte damit nun Funktionen hinzufügen.
Für Apache2 gibt es ja Sicherheitsmodule, womit man php zusätzlich absichern kann. Ich glaube snort hat auch einige Filter parat um auf ungewünschte PHP-Aktionen zu reagieren (im Log).
1. Ich habe gelesen, dass Formulareingaben "gefiltert" werden müssen, damit kein Code eingeschleust werden kann. Soweit klar. Gibt es, wie bei der Shellshock-Lücke z.B., ähnliche Varianten um php-Code einzuschleusen? Ich nehme derzeit (fälschlicher Weise bestimmt) gerade nur das Formular als einzige Schnittstelle zum System an.
2. Wenn Eingaben gefiltert werden und alphamumerisch bleibt über und wird per post oder get übertragen, kann dort nicht schon Code eingetragen werden, der bereits den Filter stört?
3. Das wären schon alle Ideen die ich hätte, gibt es sonst noch PHP-Angriffe, die ich absichern muss?
Bemerkung: Ich verwende kein CMS/PHP bisher, alles html mit css. Keine Schnittstellen zum System, solange der Apache sicher ist.
Über ein paar Stichwörter wäre ich schon froh. Vielleicht eine Webseite, die sich nur damit befasst. Die Seiten die ich gefunden habe, reißen das Thema nur ganz kurz an. Nichts tiefgründiges.
Danke
Gruß
P.