Hoi,

ich bastel viel und gerne in PHP und erst kürzlich wurde mein Forum
(es ist das phpbb) gehackt. Nunfrag ich mich, wie konnten die in den
Adminteil eindringen ? Worauf muss man achten, um sicher zu sein ?!

Nun, das ist kein triviales Thema mehr. Dazu gibt es viele Artikel.
Das Wichtigste vielleicht im Ueberblick:

• Variablen *immer* initialisieren! Nicht-Initialisierte Variablen
    koennen in PHP zu unvorhergesehenen Ergebnissen fuehren (Stickwort:
    Importierung von URL-Parametern in den globalen Namensraum).

• User-Eingaben *immer* validieren! Nicht-validierte User-Eingaben
    sind in jeder Sprache ein Problem. Die koennen zu "einfachen"
    Sachen wie dDoS bis hin zu ernsthaften Problemen fuehren.

• Passwoerter *immer* am besten verschluesselt oder, falls das nicht
    moeglich ist, per POST uebertragen. Aber auf KEINEN Fall per GET.
    Unverschluesselte Passwoerter werden im Klartext ueber das Internet
    geschickt und koennen im Grunde ueberall mitgeloggt werden. Bei
    einer GET-Uebertragung tauchen sie zusaetzlich noch in allen
    moeglichen und unmoeglichen Logdateien auf.

• Nach jedem Login wieder ausloggen! Wartest du auf einen
    Session-Timeout, statt dich auszuloggen, kann deine Session-ID
    benutzt werden, um Administrations-Zugriff zu erlangen.

• Bei *allen* hoehoergestellten Funktionen sicherstellen, dass der
    User, der sie ausloest, auch die Rechte dazu hat! Dazu gehoert auch
    eine eindeutige Identifikation.

Tja, mehr faellt mir jetzt aus dem Stand auch nicht ein, sorry.
Aber mit der Zeit solltest du selbst ein Gespuehr dafuer entwickeln
und "wissen", was sicher oder unsicher ist.

Gruesse aus dem schoenen LH,
 c.j.k