LautundKlar

PHP und Sicherheit

Das Thema Sicherheit sollte bei keiner Software- oder Web-Entwicklung zu kurz kommen. Bereits bei der Konzeption sollte man sich unbedingt Gedanken darüber machen, wie man das neue Projekte so gut es geht absichern kann, um mögliche Schäden von vornherein zu verhindern.

Hier nun einige wichtige Tipps für eine sichere Webanwendung:

1. Bei der Entwicklung bedenken, wie das Programmierte evtl. “ausgenutzt” werden kann.
2. Daten die von Benutzern eingegeben werden können, sollte man immer filtern.
3. Bei Verarbeitung von Formularen sollte man auf serverseitige Überprüfung setzten.
4. Dateien, in denen Datenbank-Zugangsdaten gespeichert sind, nie offenlegen. Also nie im DocumentRoot ablegen! Es kann vorkommen, dass die Datei im Klartext an den Browser gesendet wird. “include()” kann auch auf Verzeichnisse zeigen die von außen nicht sichtbar sind. Wer DB-Daten ausgliedern will, sollte schlichtweg eine db.php anlegen, die Zugangsdaten in Konstanten definieren und das ganze außerhalb der Webroot oder zumindest in einem Unterverzeichnis ablegen, das eine .htaccess mit der Zeile “deny from all” beinhaltet. Zudem sollte der Datenbankserver niemals der Außenwelt zugänglich gemacht werden, sondern nur Verbindungen vom “localhost” akzeptieren.
5. Schutz gegen SQL-Injection durch Filterung der Daten, einfache Anführungszeichen als Maskierung verwenden und Escaping.
6. Sessions absichern. Das ist ein recht anspruchsvolles Thema. Weitere Informationen gibt es hier:
   

   PHP Session Security

Wer weiter Ratschläge weiß, um Webprojekte zusätzlich abzusichern, kann sie gerne hier posten.

Popularity: 16% [?]