c’t extra Webdesign: „Sicherheit von Webanwendungen“

Ich hatte heute die Extraausgabe der c’t im Briefkasten. Gekauft habe ich sie wegen dem Artikel auf der Seite 118: „Websites vor Angriffen schützen“.

„Websites vor Angriffen schützen“

Angedeutete Themen:

  • Cross Site Scripting
  • Remote Code Execution
  • SQL-Injektion

Angebotene Lösungen:

  • htmlentities()
  • addslashes()
  • mysql_real_escape_string()
  • escapeshellcmd()

Keine Beispiele.

Zum Schluss die obligatorische Liste der Sicherheitsoptionen der php.ini. Dazu die Anmerkung, dass „Shared-Webhosting […] für den sicheren Einsatz einer PHP-Applikation kaum empfehlenswert“ ist. Danke – trifft ja auch nur auf die meisten Webseiten zu… nun ja.

Ich hatte einige Hoffnung, dass sich im einem solchen c’t extra-Artikel konkrete Lösungsvorschläge zu bekannten Gefahren finden. Ich wurde arg enttäuscht. 8 Euro 50 bezahlt für etwas, was bei Wikipedia auch zu finden ist. Man kann aus solchen Artikeln nichts mitnehmen, nur dass es etwas gibt was man dagegen tun kann, wenn man die genannten Funktionen irgendwie verwendet.

Aber Achtung, denn einige Funktionen „lassen sich durch geschickt eingestreute Null-Bytes oder Newlines austricksen“! Gut, dass wir das erfahren haben.

Danke für die Tipps, c’t, jetzt ist alles klar.

Das könnte dich auch interessieren …