security/variables.xml

<?xml version="1.0" encoding="utf-8"?>
<!-- $Revision$ -->
<!-- EN-Revision: ab6785b01ce1006e3a9761988575289f40c9b678 Maintainer: hholzgra Status: ready -->
<!-- Credits: tom -->
  <chapter xml:id="security.variables" xmlns="http://docbook.org/ns/docbook">
   <title>Vom Nutzer übermittelte Daten</title>
   <para>
    In vielen <acronym>PHP</acronym> Programmen liegt die größte Schwäche nicht an der Sprache
    selbst, sondern bloß an Code, der nicht mit dem nötigen Augenmerk auf
    die Sicherheit geschrieben wurde. Deshalb sollten Sie sich immer Zeit
    nehmen, die Implikationen eines gegebenen Codestücks zu bedenken, um
    einen möglichen Schaden durch eine eventuell unerwartete übergebene
    Variable festzustellen.
    <example>
     <title>Gefährliche Verwendung von Variablen</title>
     <programlisting role="php">
<![CDATA[
<?php
// lösche eine Datei aus dem Benutzer-Verzeichnis...
// oder vielleicht dem eines anderen Benutzers?
unlink ($evil_var);

// Schreibe die Log-Information von deren Zugriff...
// oder vielleicht einen /etc/passwd Eintrag?
fputs ($fp, $evil_var);

// Führe etwas triviales aus... oder rm -rf *?
system ($evil_var);
exec ($evil_var);

?>
]]>
     </programlisting>
    </example>
    </para>
    <para>
    Sie sollten Ihren Code immer sorgfältig kontrollieren, um eine
    sorgfältige Prüfung irgendwelcher von einem Web-Browser übertragenen
    Variablen sicherzustellen, und sich selbst folgende Fragen stellen:
    <itemizedlist>
     <listitem>
      <simpara>
       Wird sich dieses Skript nur auf die vorgesehenen Dateien auswirken?
      </simpara>
     </listitem>
     <listitem>
      <simpara>
       Kann auf ungewöhnliche oder unerwünschte Daten reagiert werden?
      </simpara>
     </listitem>
     <listitem>
     <simpara>
       Kann dieses Skript auf nicht vorgesehene Art genutzt werden?
      </simpara>
     </listitem>
     <listitem>
      <simpara>
       Kann dies in Verbindung mit anderen Skripten in einer negativen
       Art benutzt werden?
      </simpara>
     </listitem>
     <listitem>
      <simpara>
       Werden alle Transaktionen ausreichend geloggt?
      </simpara>
     </listitem>
    </itemizedlist>
    </para>
    <para>
    Wenn Sie sich diese Fragen anstatt danach schon während dem Schreiben
    des Skriptes stellen, ersparen Sie sich das unangenehme Umschreiben,
    wenn eine Erhöhung der Sicherheit erforderlich wird. Mit dieser Art
    zu denken werden Sie die Sicherheit des Systems zwar nicht garantieren,
    aber sie können helfen, sie zu erhöhen.
   </para>
   <para>
    Sie könnten auch Überlegungen anstellen, ob Sie nicht register_globals,
    magic_quotes, oder andere bequeme Einstellungen abschalten, welche Sie
    in Punkto Gültigkeit, Herkunft, oder Inhalt einer gegebenen Variable
    durcheinanderbringen könnten. Mit <acronym>PHP</acronym> im error_reporting(E_ALL) Modus
    zu arbeiten kann auch helfen, Sie vor Variablen zu warnen, welche
    benutzt werden, bevor sie geprüft oder initialisiert wurden (so können
    Sie verhindern, dass mit ungewöhnlichen Daten gearbeitet wird).
   </para>

  </chapter>

<!-- Keep this comment at the end of the file
Local variables:
mode: sgml
sgml-omittag:t
sgml-shorttag:t
sgml-minimize-attributes:nil
sgml-always-quote-attributes:t
sgml-indent-step:1
sgml-indent-data:t
indent-tabs-mode:nil
sgml-parent-document:nil
sgml-default-dtd-file:"~/.phpdoc/manual.ced"
sgml-exposed-tags:nil
sgml-local-catalogs:nil
sgml-local-ecat-files:nil
End:
vim600: syn=xml fen fdm=syntax fdl=2 si
vim: et tw=78 syn=sgml
vi: ts=1 sw=1
-->