PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher by Christopher Kunz

By Christopher Kunz

Hypertext Preprocessor gilt mittlerweile als die beliebteste Skriptsprache für Webanwendungen. Leider werden Sicherheitsaspekte bei der PHP-Entwicklung oft vernachlässigt. Dies führt leicht zu massiven Sicherheitsproblemen und ist dann für kompromittierte Server und verunstaltete Webseiten verantwortlich. Wie guy solche Risiken erkennen und abwehren kann, zeigt dieses Buch. An nachvollziehbaren Beispielen lernen die Leser alle wichtigen Gefahren kennen, u.a.: - SQL-Injection - Cross-Site Scripting - Angriffe gegen classes - Angriffe auf Upload-Formulare - Cross-Site Request Forgery - HTTP reaction Splitting Darauf aufbauend vermitteln die Autoren effiziente Vorbeugungs- und Gegenmaßnahmen, z.B.: - Sichere Konfiguration von Hypertext Preprocessor - Filterung von Web-Angriffen - Richtige Überprüfung von Variablen - Blacklist-/Whitelist-Prüfungen - Absichern von personal home page mit Suhosin Die Leser lernen, welche Fehler sie bei der Umsetzung ihrer Ideen in personal home page vermeiden sollten. Außerdem können sie anhand der im Buch genannten "Best Practices" ihren eigenen Programmierstil kritisch überprüfen und schnell in die Fehlersuche einsteigen. Die Checkliste im Anhang bietet eine Anleitung für Code Audits und für die Absicherung von Projekten. Die dritte Auflage wurde gründlich überarbeitet und an aktuelle Neuerungen in der PHP-Welt angepasst. Stimmen zu Vorauflagen: "Dieser Titel bietet eine gründliche Abhandlung, die jeder gelesen haben sollte, bevor er Hypertext Preprocessor Skripte auf öffentlichen Webservern installiert. Selbst erfahrene PHP-Programmierer finden hier noch wertvolle Hinweise und konkrete Lösungen." Linux Magazin "Dieses Buch zeichnet sich insbesondere durch eine gute Verständlichkeit aus und sollte zur Pflichtlektüre eines jeden ernsthaften Programmierers gehören." PHPmagazin

Show description

Read Online or Download PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren (German Edition) PDF

Similar programming: programming languages books

Objektorientierte Programmiersprache C++: Vollständige Einführung anhand von Beispielen (VDI-Buch) (German Edition)

In diesem Werk werden alle Aspekte der Sprache C++ behandelt, deshalb ist das Buch ebenso für Einsteiger, mit oder ohne Vorkenntnisse über eine andere Programmiersprache, als auch für Umsteiger von anderen Programmiersprachen bzw. C-Programmierer geeignet. Die Darstellung der Sachverhalte erfolgt knapp und systematisch, die Beispiele sind kurz, prägnant und compiler- unabhängig und auf allen Rechnern mit C++ 2.

Extra info for PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren (German Edition)

Example text

Erst vor kurzer Zeit wurden auf dem Server eines vermeintlichen Sicherheitsexperten Kundendaten entdeckt, die Kreditkarteninformationen und Adressdaten enthielten. Diese Dateien waren öffentlich zugänglich in einem Backup-Verzeichnis abgelegt. 12 Fazit tion oder auf einem Server zu finden. Ein Webserver-Administrator sollte in regelmäßigen Abständen die Homepage des Herstellers seiner installierten Softwarekomponenten besuchen, um zu sehen, ob nicht vielleicht ein Security-Update oder -Patch vorhanden ist.

1 beschrieben, werden diese Dateien dank mod_mime trotzdem als PHP-Code geparst, dieses Verhalten ist jedoch webserverabhängig. Daher sollten Sie Merge- und Backupdateien stets entfernen, bevor Sie ein Projekt freigeben. 7 Pfade Für einen erfolgreichen Angriff oder Security-Test sind nicht nur die Include- oder Backup-Pfade interessant, es gibt noch einige mehr. 1 mod_speling Das Apache-Modul mod_speling – die inkorrekte Schreibweise ist ein Scherz der Entwickler – unterstützt die Korrektur falsch geschriebener Requests an den Apache-Webserver.

Wenn Sie eine Datenbank installiert haben, legen wir Ihnen Kapitel 5 besonders ans Herz. 6 Datei-Altlasten Bei der Entwicklung von Webapplikationen werden häufig temporäre Dateien angelegt – sei es als Sicherheitskopie, bevor der Entwickler einen neuen Programmieransatz ausprobiert, aus administrativen Gründen oder zu Testzwecken. Diese Altlasten werden dann häufig zusammen mit der Anwendung auf den produktiven Server kopiert und warten dort auf einen findigen Angreifer, der die Dateien entdeckt.

Download PDF sample

Rated 4.75 of 5 – based on 16 votes