Guten Morgen liebes Forum,

ich muss mir ein paar Gedanken machen zum Thema IP-Fälschung und Sicherheit von PHP-Scripten.

Im Moment habe ich einige Scripte einfach durch ein Auth-Verfahren über Fehler 401 im der Header() -Funktion geschützt. Damit wir aber im Intranet nicht dauernd die Passworte eintippen müssen, habe ich auch die REMOTE_ADDR abgefragt und einige IPs des Netzsegmentes, das Zugriff hat, "freigeschaltet".

Wie leicht ist es denn eigentlich möglich, eine REMOTE_ADDR zu fälschen? Ich gehe in meinem Laienverstand davon aus, dass es sich hierbei um die Absender-IP handelt. Wenn die nicht richtig eingetragen ist, bekommt der Absender sowieso keine Antwort. Außerdem handelt es sich bei unseren IPs ja um welche aus dem VPN-Class-C-Bereich (hinter dem Router eben...)

Außerdem kam mir so in den Sinn, die empfindlicheren Scripte selber in die Datenbank zu packen. Ist vielleicht ne ganz witzige Idee. Hat jedmand erfahrung damit, ob sich MySQL und PHP-Code in einem Textfeld vertragen oder ob da irgendwelche Zeichen "vermatscht" werden? Sonst müsste man vielleicht ein BLOB nehmen?

Da ja der wwwrun auf allerhand Sachen Zugriff haben muss, ist die Sciherheit sowieso sehr gefährlich dünn. Ich habe immer Angst davor, dass es jemand fertig bringt ein php-Script ein den für Browser zugänglichen Bereich hochzuladen. Damit dürfte er dann alles, was der wwwrun darf.

Kann man da nicht irgendwie für mehr Sicherheit sorgen?

Viele Fragen, ich weiß.
Eine Bitte trotzdem:
Bitte nur konstruktive Antworten... :-))

Liebe Grüße

Tom