nicht angemeldet
Hi!
AAABBBERRR!!! Ich muss wohl nochmals anmerken: Ich bin erst in Kapitel 4 des Buches. Ich hab mal nach hinten geblättert und in Kapitel 6 kommt ein Abschnitt wo es drum geht meine Daten gegen SQL-Injections zu wappnen und noch weiter hinten kommen weitere "sicherheitsthemen". Ich denke so schlecht ists doch nicht. Es baut einfach Schritt für Schritt auf. Und zwar in wirklich kleinen Schritten, sodass auch Idioten wie ich mitkommen.
Bewusst etwas falsch zu machen sollte zeigen, was für ein Problem dabei entsteht. Es erst einmal stillschweigend falsch zu machen, halte ich nicht für den richtigen Weg. Kontextwechsel zu beachten ist so ein wichtiges Sicherheitsthema, dass der Lernwillige gleich von Anfang an darauf sensibilisert werden sollte.
Ich denke Dinge wie "or die" werden einfach mal so in den Raum geschmissen um erste simple (wenn auch fehlerhafte) Anwendungen aufzubauen und werden zu gegebener Zeit wieder aufgegriffen und dann aufgezeigt wie mans "richtig" macht. Wenn alles gleich zu beginn erklärt werden würde (wie jetzt von Dir ;) ), wäre ich sofort hoffnungslos überfordet.
Später zu reparieren fördert eine lasche Einstellung zu den Dingen. Es darf nicht erst einmal falsch gemacht werden und hinterher, wenn Zeit ist oder mit anderer Ausrede, werden die Sicherheitslücken gefixt.
Ach... noch zum Umkopieren der $_POST-Werten. Im Buch wurde das mit der Begründung gemacht, dass die eigenen Variablen einfacher zu bearbeiten bzw. verwenden sind. Da muss ich sagen seh ich das schon bisschen so wie das Buch. Ich bin zwar schnell im tippen, aber solche Fingerbrecher wie $_POST['wasauchimmer'] mehrmals zu schreiben würde mich echt ankotzen. Und ich bin auch schneller im tippen von $wasauchimmer, als die "POST-Version" zu markieren und kopieren. Von daher... schaden tut das Umkopieren ja nicht, oder doch?
Der Kontextwechsel muss zwar immer und nicht nur bei Eingabewerten berücksichtigt werden, weswegen eine Verschleierung der Herkunft eigentlich nichts ausmachen dürfte. Aber trotzdem erhöht sich die Komplexität durch weitere Variablen. Beim Analysieren eines fremden Scripts muss man nun immer im Hinterkopf behalten, was das für Variablen sind. Einem $_POST sieht man das sofort an. Und das bisschen Mehraufwand beim Tippen sollte zugunsten der Klarheit in Kauf genommen werden.
Lo!