Vielen Dank für Ihre Anfrage!
Jobsuche: jetzt bewerben!
Kontakt /
Offene Fragen?
schließen
05251 / 69 410 - 00
  • Kostenlose Erstberatung anfordern
  • Unverbindliches Angebot einholen
  • Ihr Wegbereiter für Umsatzwachstum
  • Nachhaltig mehr Bekanntheit erzielen
  • Rentabel und messbar zum Web-Erfolg

* bei diesen Eingaben handelt es sich um Pflichtfelder

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Poste den ersten Kommentar

Es kommt auch heutzutage noch immer vor, dass viele eigen programmierte Webseiten in einem erhöhtem Sicherheitsrisiko existieren, da sich die Programmierer nicht ausreichend um die Sicherheit gekümmert haben. Die Folgen solcher Programmierung können verheerend hoch sein, daher möchten wir nun einige Sicherheitsmethoden vorstellen, wie man sich effektiv gegen die bekanntesten Angriffe schützen kann.

Die goldene Regel bei der sicheren PHP Programmierung ist: Die Usereingaben sind gefährlich.

Schutz vor SQL-Injection

Angreifer versuchen mittels SQL-Injection eigen eingeschleuste MySQL Befehle auszuführen, um so eventuelle Werte der Datenbank zu ändern, manipulieren oder gar zu löschen.

Hier sollte darauf geachtet werden, dass der potentielle Angreifer keine Chance hat SQL Befehle einzuschleusen. Um hier für den ausreichenden Schutz zu sorgen sollte man gucken, ob die eingegebenen Datentypen stimmen und den Querystring vor der Datenbankverarbeitung escapen.

Schutz vor Cross-Site Scripting (XSS) Angriffen

XSS Angriffe werden meistens von Angreifern dazu eingesetzt, Webseiteninhalte zu verändern oder Schadecode einzuschleusen. Meistens werden hier JavaScript Codes eingeschleust und dann von den einzelnen Clienten aufgerufen, wenn es nicht vorzeitig von der Serveranwendung abgefangen wurde. Dies kann etwa das Eingabeformular einer Webseite sein, wie in Webshops, Foren, Blogs und Wikis üblich.

Um also einen XSS Schutz einzubauen sollte man jede Usereingabe die später wieder ausgegeben wird auf unerwünschte Inhalte wie JavaScript prüfen.

  • strip_tags() — Entfernt HTML- und PHP-Tags aus einem String (Dazu unbedingt Beispiel 1# ansehen)

RFI/LFI Dateioffenlegung

LFI bedeutet "Local File Inclusion" und bezeichnet das Ausnutzen einer Lücke auf einer Internetseite, um somit Daten aufzurufen die lokal auf dem Webserver liegen.

RFI bedeutet "Remote File Inclusion" und bezeichnet das Ausnutzen einer Lücke auf einer Internetseite, in die man Code includiert, der nicht lokal auf dem Webserver abgespeichert ist, sondern überall anders liegen kann.

Um sich vor derartigen Angriffen zu schützen, sollte man alle Funktionen, die irgendwas mit dem Dateisystem zu tun haben (include, require, readfile, file_get_contents und viele mehr) genauestens überprüfen.

Ps. MVC Frameworks wie z.B. das sehr einsteigerfreundliche und beliebte CodeIgniter haben darüber hinaus Active Record Klassen, sowie eine Input Klasse, wo Angrifsversuche bestmöglich abgewehrt werden und SQL Parameter automatisch escaped werden.

The End

Wir hoffen damit einigen helfen zu können Ihre Webseiten und Anwendungen sicherer zu gestalten. Über weiterführende Angriffsmöglichkeiten, die häufig vorkommen oder ergänzenden sicherheitsbringenden Funktionen freuen wir uns natürlich. ;)

Können wir Ihnen helfen?Wir beantworten gerne Ihre Fragen!

* bei diesen Eingaben handelt es sich um Pflichtfelder, unsere Webseite ist durch reCAPTCHA geschützt und es gelten die Google Datenschutzbedingungen und Nutzungsbedingungen

Jetzt Online-Marketing Newsletter abonnierenZukünftig kostenlose Newsletter unserer Experten erhalten!

  • Wir teilen unser Know-how mit Ihnen
  • Kostenlose Inhalte
  • Tipps & Tricks zu Marketing, Design & E-Commerce

Unsere Kunden-Referenzen Mehr als 15 Jahre Expertise in unterschiedlichen Branchen

Naturstein Risse Logo
DieboldNixdorf Logo
Uni-Paderborn Logo
Zecher Logo
StadtwerkeBielefeld Logo
Stadt Paderborn Logo
testsiegertarife Logo
H&M Logo
Krenz Autohaus und Werkstatt Logo

Wir nutzen Cookies auf unserer Website. Mit der Wahl von "Ich akzeptiere" stimmen Sie der Verwendung zu. Alternativ können Sie auch nur wesentliche oder funktionale Cookies akzeptieren — Impressummehr erfahren
Wir verwenden Cookies und andere Tracking-Technologien, um Ihr Browsererlebnis auf unserer Website zu verbessern, personalisierte Inhalte und gezielte Anzeigen anzuzeigen, den Website-Traffic zu analysieren und zu verstehen, woher unser Publikum kommt. Um mehr zu erfahren oder sich abzumelden, lesen Sie bitte unsere Datenschutzerklärung.