- Formular Validatoren
Validierung sollte sich auf die Geschäftslogik beschränken und ist damit nicht sicherheitsrelevant. Wichtiger hingegen ist ...
bin grade dabei.
- SQL-Injection Abfang
Einige denken sich "Sicherheit mach ich später", aber das ist der falsche Ansatz. Das Hauptaugenmerk sollte sein, das Programm fehlerfrei zu gestalten, so dass auch nicht als Angriff gedachte Daten kontextgerecht ausgegeben werden.
sehe ich exakt genauso. Lieber fehlerfreien und sauberen Code programmieren als irgenswas hinrotzen, was zwar auch funzt aber man damit rechnen muss, den totalen Überblick zu verlieren, ergo auch das dieser Code angriffsanfälliger sein kann.
Wo tun sich pauschal gesagt weitere Angriffsmethoden und Wegw auf die man als "PHP-Entwichler" schließen kann?
Alles was interne Daten sind, auf die nicht direkt zugegriffen werden soll, sollten sich außerhalb des Documentroot befinden.
Ist logisch, aber ich aber nich gesehen. Besten Dank.
Leider ist bei zu billigen Hostern keine Möglichkeit vorhanden, neben dem Documentroot Verzeichnisse anzulegen, oder der Vorgang ist für das Zielpublikum zu kompliziert.
Was is mit den .htaccess
Dateien? Da kannn ich doch einstellen was öffentlich is und was nicht. Insofern stellte das aus meiner Sicht kein Problem dar oder nich?
Mitunter wird dann auch gern vergessen, in Temp- und Upload-Verzeichnissen das Ausführen von PHP-Dateien (und was der Hoster sonst noch ausführbar gemacht hat) zu untersagen, und die Angreifer können sich dann ihr eigenes Script hochladen und ausführen.
Ok hab verstenden. Danke
vlg MB