ComputerBase
Aktuelles

PHP Sichern einer PHP-WebApp über .htaccess?

D

Dsimon24

Lieutenant
Registriert
Aug. 2016
Beiträge
595
Guten Morgen zusammen,

ich informiere mich im Internet derzeit ein wenig in Bezug
auf das Absichern einer PHP-WebApp vor Hackerangriffen.

Jetzt habe ich gelesen, dass ein Sichern in Form eines Verzeichnisschutzes mittels einer .htaccess
ausreichen soll, um Hackern jegliche Wege zu versperren, um die App angreifen zu können.

Ist das so?
Vorausgesetzt man richtet den Verzeichnisschutz für den
Ordner ein, in diesem sich die WebApp auch befindet...

LG, David
 
Naja, bei einer richtigen Einstellung der htaccess kann man nicht dran vorbei durch direkte Zugriffe.

Url-Injection ist trotzdem noch möglich. Das heißt vor allem, man muss immer:
- alle möglichen Nutzereingaben überprüfen!

Dann sollte deine Webapp schon ziemlich sicher sein. Sichere Übertragung usw. kommt natürlich noch dazu, je nachdem, was du für eine App hast.
 
Was genau ist denn URL-Injection? Ist es das gleiche wie Code-Injection? Oder sind das verschiedene Dinge?

Sorry, wenn ich so frage. Bin in diesem Bereich doch noch recht frisch und lerne das gerade alles ein wenig.
 
Das Filtern der Nutzer-Eingabe-Möglichkeiten ist natürlich ein wichtiger Punkt - und zwar im verarbeitenden Script, nicht auf der HTML-Seite die die Daten an das Script weiterleitet (diese lassen sich ja spielend umgehen).

Also nicht im Userinterace prüfen ob z.B. eine E-Mail-Adresse gültig ist (per JavaScript) und wenn es Bestanden wurde das ganze Zeug an das Script schicken (was dann keine Prüfungen mehr durchführt), sondern wirklich das ausführende PHP-Script entscheiden lassen - aber gründlich! Natürlich kannst du auch zusätzlich dein Interface überprüfen lassen ob die Daten Sinn ergeben, aber es sollte niemals die letzte Instanz sein. *Alle* Daten die vom Nutzer kommen sind *immer* als potentielle Gefahr anzusehen und auf alles zu prüfen.

Du kannst dir auch die ganzen Infos des BSI dazu mal durchlesen, exemplarisch z.B. das: https://www.bsi.bund.de/DE/Themen/I...utzKataloge/Inhalt/_content/m/m02/m02363.html
 
Url injection wäre z.B. In folgendem Möglich

index.php:
Code: 
$file = $_GET["file"];
include $file;

Wenn du dann eine Datei eingeben würdest, die durch htaccess geschützt wird, würde sie trotzdem angezeigt, da sie serverseitig eingebunden wurde.

Lg, Franz
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Woodz
Eigene Webseite über .htaccess sichern
Antworten
2
Aufrufe
1.239
Woodz
Woodz
F
301 über .htaccess
Antworten
1
Aufrufe
1.243
paunaro
P
B
PHP Probleme mit Rewrite über .htaccess Regeln
Antworten
3
Aufrufe
1.331
hostile
hostile
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

Dieser Dialog konnte nicht vollständig geladen werden, eine Zustimmung gilt daher nur vorläufig. Blockiert ein Browser-Add-on Third-Party-Scripte?

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 176 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz