Hi,
Ich hab vor Jahren eine php/mysql-Anwendung geschrieben. Die soll demnächst wieder aktiviert werden. Da ich damals nicht groß auf Sicherheit geachtet habe, die Anwendung aber relativ groß ist, frage ich mich, wie ich auf möglichst einfache und schnelle Weise Injections ausschließen kann.
Alle Scripte durchgehen und Statement für Statement abklappern?
Oder lokal ausführen und mir jede ensprechende URL im Browser raussuchen und dann gezielt im Script entsprechend escapen? Oder gibt es Tools oder irgendeinen Hauruck-Workaround? ich habe die Anwendung übrigens seinerzeit dann doch schon auf PHP5 entwickelt, glücklicherweise.Danke für Tips.
Basti
Hauruck wäre zum Beispiel, alle $_POST/$_GET Daten zu escapen. Gleichzeitig kannst du diese Daten cleanen, also zum Beispiel per strip_tags, beugt gleichzeitig Exploits vor. Oder du nimmst per str_replace reservierte Wörter (subquery etc) aus dem Datensatz raus.
Besser ist es sicherlich, die Scripte (Queries) durchzugehen und die einzelnen $_POSTs/$_GETs entsprechend zu Casten und ggf. zu escapen - kommt der Performance zugute.