archived-doc-de/security/variables.xml

<?xml version="1.0" encoding="utf-8"?>
<!-- EN-Revision: f0ed705e1ac34fed4c92979f63bee74c382f991b Maintainer: hholzgra Status: ready -->
<!-- Credits: tom -->
<chapter xml:id="security.variables" xmlns="http://docbook.org/ns/docbook">
 <title>Vom Nutzer übermittelte Daten</title>
 <para>
  In vielen <acronym>PHP</acronym> Programmen liegt die größte Schwäche nicht
  an der Sprache selbst, sondern bloß an Code, der nicht mit dem nötigen
  Augenmerk auf die Sicherheit geschrieben wurde. Deshalb sollten Sie sich
  immer Zeit nehmen, die Implikationen eines gegebenen Codestücks zu bedenken,
  um einen möglichen Schaden durch eine eventuell unerwartete übergebene
  Variable festzustellen.
  <example>
   <title>Gefährliche Verwendung von Variablen</title>
   <programlisting role="php">
<![CDATA[
<?php
// lösche eine Datei aus dem Benutzer-Verzeichnis...
// oder vielleicht dem eines anderen Benutzers?
unlink ($evil_var);

// Schreibe die Log-Information von deren Zugriff...
// oder vielleicht einen /etc/passwd Eintrag?
fputs ($fp, $evil_var);

// Führe etwas triviales aus... oder rm -rf *?
system ($evil_var);
exec ($evil_var);

?>
]]>
   </programlisting>
  </example>
  </para>
  <para>
  Sie sollten Ihren Code immer sorgfältig kontrollieren, um eine sorgfältige
  Prüfung irgendwelcher von einem Web-Browser übertragenen Variablen
  sicherzustellen, und sich selbst folgende Fragen stellen:
  <itemizedlist>
   <listitem>
    <simpara>
     Wird sich dieses Skript nur auf die vorgesehenen Dateien auswirken?
    </simpara>
   </listitem>
   <listitem>
    <simpara>
     Kann auf ungewöhnliche oder unerwünschte Daten reagiert werden?
    </simpara>
   </listitem>
   <listitem>
   <simpara>
     Kann dieses Skript auf nicht vorgesehene Art genutzt werden?
    </simpara>
   </listitem>
   <listitem>
    <simpara>
     Kann dies in Verbindung mit anderen Skripten in einer negativen
     Art benutzt werden?
    </simpara>
   </listitem>
   <listitem>
    <simpara>
     Werden alle Transaktionen ausreichend geloggt?
    </simpara>
   </listitem>
  </itemizedlist>
 </para>
 <para>
  Wenn Sie sich diese Fragen anstatt danach schon während des Schreibens des
  Skriptes stellen, ersparen Sie sich das unangenehme Umschreiben, wenn eine
  Erhöhung der Sicherheit erforderlich wird. Mit dieser Art zu denken werden
  Sie die Sicherheit des Systems zwar nicht garantieren, aber sie können
  helfen, sie zu erhöhen.
 </para>
 <para>
  Verbessern Sie die Sicherheit, indem Sie Komfort-Einstellungen deaktivieren,
  die die Herkunft, die Gültigkeit oder die Integrität von Eingabedaten
  verschleiern. Die implizite Erstellung von Variablen und ungeprüfte Eingaben
  können zu Sicherheitslücken wie Injection-Attacken und Datenmanipulation
  führen.
 </para>
 <para>
  Funktionalitäten wie <literal>register_globals</literal> und
  <literal>magic_quotes</literal> (beide in PHP 5.4.0 entfernt) trugen früher
  zu diesen Risiken bei, indem sie automatisch Variablen aus Benutzereingaben
  erzeugten und Daten inkonsistent maskierten. Obwohl sie nicht mehr in PHP
  enthalten sind, bleiben ähnliche Risiken bestehen, wenn die Verarbeitung von
  Eingaben nicht richtig gehandhabt wird.
 </para>
 <para>
  Aktivieren Sie
  <link linkend="function.error-reporting">error_reporting(E_ALL)</link>, um
  nicht initialisierte Variablen zu erkennen und Eingaben zu validieren.
  Verwenden Sie strikte Typen
  (<link linkend="language.types.declarations.strict">declare(strict_types=1)</link>,
  eingeführt in PHP 7), um Typsicherheit zu erzwingen, unbeabsichtigte
  Typumwandlungen zu verhindern und die allgemeine Sicherheit zu verbessern.
 </para>
</chapter>

<!-- Keep this comment at the end of the file
Local variables:
mode: sgml
sgml-omittag:t
sgml-shorttag:t
sgml-minimize-attributes:nil
sgml-always-quote-attributes:t
sgml-indent-step:1
sgml-indent-data:t
indent-tabs-mode:nil
sgml-parent-document:nil
sgml-default-dtd-file:"~/.phpdoc/manual.ced"
sgml-exposed-tags:nil
sgml-local-catalogs:nil
sgml-local-ecat-files:nil
End:
vim600: syn=xml fen fdm=syntax fdl=2 si
vim: et tw=78 syn=sgml
vi: ts=1 sw=1
-->