in der nächsten zeit versuche ich - um auf die gewünschten 3 blogeinträge pro woche zu kommen - kleine beiträge zum thema security zu posten.
10 grundregeln (für php-programmierer)
- keine request-variablen in ein include()!
- request-variablen sind bei eingeschalteten register_globals mit "normalen" variablen gleichzusetzen!
- keine request-variablen in einer ausgabe!
- bei einer ausgabe von request-variablen an htmlspecialchars() denken!
- für den datentransport sollten sessions den request-variablen vorgezogen werden!
- wenn variablen nur einmal definiert werden sollen (zb konfigurationsdaten, pfade für include()), konstanten verwenden!
- daten sind spezifisch zu nutzen (unterschied zwischen $_POST und $_GET statt immer nur $_REQUEST)!
- request-daten für eine datenbankabfrage müssen validiert werden!
- request-daten haben nichts in dateioperationen (zb fopen()) zu suchen!
- benutzereingaben sind böse! (immer überprüfen)
Keine Kommentare:
Kommentar veröffentlichen