PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren: Safari Books Online

Download Safari Books Online apps: Apple iOS | Android

Entire Site

Safari Books Online is a digital library providing on-demand subscription access to thousands of learning resources.

Start Reading

Buy Print Version

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren
By: Christopher Kunz; Stefan Esser
Publisher: dpunkt.verlag
Pub. Date: June 16, 2008
Print ISBN: 978-3-89864-535-5
Web ISBN: 3-898645-35-5
Pages in Print Edition: 351
Subscriber Rating: 0 [0 Ratings]

Subscriber Reviews • Browse Similar Topics

Overview

PHP gilt mittlerweile als die beliebteste Skriptsprache für Webanwendungen. Leider werden Sicherheitsaspekte bei der PHP-Entwicklung oft vernachlässigt. Dies führt leicht zu massiven Sicherheitsproblemen und ist dann für kompromittierte Server und verunstaltete Webseiten verantwortlich. Wie man solche Risiken erkennen und abwehren kann, zeigt dieses Buch.

An nachvollziehbaren Beispielen lernen die Leser alle wichtigen Gefahren kennen, u.a.:

SQL-Injection
Cross-Site Scripting
Angriffe gegen Sessions
Angriffe auf Upload-Formulare
Cross-Site Request Forgery
HTTP Response Splitting

Subscriber Reviews

Average Rating: 0 out of 5 rating Based on 0 Ratings

No Subscribers have provided a review for this book.

Browse Similar Topics

Top Level Categories:
Information Technology & Software Development
Product
Vendor

Sub-Categories:
Information Technology & Software Development > Databases
Databases > MySQL
Product > MySQL
Vendor > Oracle

Table of Contents

View Sample

View Sample

copyright: Copyright

View Sample

View Sample

Download Chapter
1 TokenKapitel 1. Einleitung

View Sample

Section 1.1. Über dieses Buch

View Sample

Section 1.2. Was ist Sicherheit?

View Sample

Section 1.3. Wichtige Begriffe

View Sample

Section 1.4. Sicherheitskonzepte

View Sample

Section 1.5. ISO 17799

View Sample

Section 1.6. Wie verkaufe ich Sicherheit?

View Sample

Section 1.7. Wichtige Informationsquellen

View Sample

Section 1.8. OWASP

View Sample

Section 1.9. PHP-Sicherheit.de

View Sample

Download Chapter
1 TokenKapitel 2. Informationsgewinnung

View Sample

Section 2.1. Grundlagen

View Sample

Section 2.2. Webserver erkennen

View Sample

Section 2.3. Betriebssystem erkennen

View Sample

Section 2.4. PHP-Installation erkennen

View Sample

Section 2.5. Datenbanksystem erkennen

View Sample

Section 2.6. Datei-Altlasten

View Sample

Section 2.7. Pfade

View Sample

Section 2.8. Kommentare aus HTML-Dateien

View Sample

Section 2.9. Applikationen erkennen

View Sample

Section 2.10. Default-User

View Sample

Section 2.11. Google Dork

View Sample

Section 2.12. Fazit

View Sample

Download Chapter
1 TokenKapitel 3. Parametermanipulation

View Sample

Section 3.1. Grundlagen

View Sample

Section 3.2. Werkzeuge zur Parametermanipulation

View Sample

Section 3.3. Angriffsszenarien und Lösungen

View Sample

Section 3.4. Variablen richtig prüfen

View Sample

Section 3.5. register_globals

View Sample

Section 3.6. Fazit

View Sample

Download Chapter
1 TokenKapitel 4. Cross-Site Scripting

View Sample

Section 4.1. Grenzenlose Angriffe

View Sample

Section 4.2. Was ist Cross-Site Scripting?

View Sample

Section 4.3. Warum XSS gefährlich ist

View Sample

Section 4.4. Erhöhte Gefahr dank Browserkomfort

View Sample

Section 4.5. Formularvervollständigung verhindern

View Sample

Section 4.6. XSS in LANs und WANs

View Sample

Section 4.7. XSS – einige Beispiele

View Sample

Section 4.8. Ein klassisches XSS

View Sample

Section 4.9. Angriffspunkte für XSS

View Sample

Section 4.10. Angriffe verschleiern – XSS Cheat Sheet

View Sample

Section 4.11. Einfache Gegenmaßnahmen

View Sample

Section 4.12. XSS verbieten, HTML erlauben – wie?

View Sample

Section 4.13. Die Zwischenablage per XSS auslesen

View Sample

Section 4.14. XSS-Angriffe über DOM

View Sample

Section 4.15. XSS in HTTP-Headern

View Sample

Section 4.16. Attack API

View Sample

Section 4.17. Second Order XSS per RSS

View Sample

Section 4.18. Cross-Site Request Forgery (CSRF)

View Sample

Download Chapter
1 TokenKapitel 5. SQL-Injection

View Sample

Section 5.1. Grundlagen

View Sample

Section 5.2. Auffinden von SQL-Injection-Möglichkeiten

View Sample

Section 5.3. Syntax einer SQL-Injection

View Sample

Section 5.4. Advanced SQL-Injection

View Sample

Section 5.5. Schutz vor SQL-Injection

View Sample

Section 5.6. Fazit

View Sample

Download Chapter
1 TokenKapitel 6. Authentisierung und Authentifizierung

View Sample

Section 6.1. Wichtige Begriffe

View Sample

Section 6.2. Authentisierungssicherheit

View Sample

Section 6.3. Authentifizierungssicherheit

View Sample

Section 6.4. Spamvermeidung mit CAPTCHAs

View Sample

Section 6.5. Fazit

View Sample

Download Chapter
1 TokenKapitel 7. Sessions

View Sample

Section 7.1. Grundlagen

View Sample

Section 7.2. Permissive oder strikte Session-Systeme

View Sample

Section 7.3. Session-Speicherung

View Sample

Section 7.4. Schwache Algorithmen zur Session-ID-Generierung

View Sample

Section 7.5. Session-Timeout

View Sample

Section 7.6. Bruteforcing von Sessions

View Sample

Section 7.7. Session Hijacking

View Sample

Section 7.8. Session Fixation

View Sample

Section 7.9. Zusätzliche Abwehrmethoden

View Sample

Section 7.10. Fazit

View Sample

Download Chapter
1 TokenKapitel 8. Upload-Formulare

View Sample

Section 8.1. Grundlagen

View Sample

Section 8.2. Aufbau eines Upload-Formulars

View Sample

Section 8.3. PHP-interne Verarbeitung

View Sample

Section 8.4. Speicherung der hochgeladenen Dateien

View Sample

Section 8.5. Bildüberprüfung

View Sample

Section 8.6. PHP-Code in ein Bild einfügen

View Sample

Section 8.7. Andere Dateitypen überprüfen

View Sample

Section 8.8. Gefährliche Zip-Archive

View Sample

Section 8.9. Fazit

View Sample

Download Chapter
1 TokenKapitel 9. Variablenfilter mit ext/filter

View Sample

Section 9.1. Überblick

View Sample

Section 9.2. Installation

View Sample

Section 9.3. Die Filter-API

View Sample

Section 9.4. Verfügbare Filter

View Sample

Section 9.5. Zahlen prüfen und filtern

View Sample

Section 9.6. Boolesche Werte

View Sample

Section 9.7. URLs validieren

View Sample

Section 9.8. IP-Adressen prüfen

View Sample

Section 9.9. Syntaxcheck für E-Mail-Adressen

View Sample

Section 9.10. Reinigende Filter

View Sample

Section 9.11. Prüfung externer Daten

View Sample

Section 9.12. Callback-Funktionen

View Sample

Section 9.13. Fazit

View Sample

Download Chapter
1 TokenKapitel 10. PHP intern

View Sample

Section 10.1. Fehler in PHP

View Sample

Section 10.2. Bestandteile eines sicheren Servers

View Sample

Section 10.3. Unix oder Windows?

View Sample

Section 10.4. Bleiben Sie aktuell!

View Sample

Section 10.5. Installation

View Sample

Section 10.6. suExec

View Sample

Section 10.7. Safe Mode

View Sample

Section 10.8. Weitere PHP-Einstellungen

View Sample

Section 10.9. Code-Sandboxing mit runkit

View Sample

Section 10.10. Externe Ansätze

View Sample

Section 10.11. Rootjail-Lösungen

View Sample

Section 10.12. Fazit

View Sample

Download Chapter
1 TokenKapitel 11. PHP-Hardening

View Sample

Section 11.1. Warum PHP härten?

View Sample

Section 11.2. Prinzipien hinter Suhosin

View Sample

Section 11.3. Installation

View Sample

Section 11.4. Zusammenarbeit mit anderen Zend-Extensions

View Sample

Section 11.5. Konfiguration

View Sample

Section 11.6. Beispielkonfiguration

View Sample

Section 11.7. Fazit und Ausblick

View Sample

Download Chapter
1 TokenKapitel 12. Webserver-Filter für Apache

View Sample

Section 12.1. Einsatzgebiet von Filtermodulen

View Sample

Section 12.2. Blacklist oder Whitelist?

View Sample

Section 12.3. mod_security

View Sample

Section 12.4. mod_parmguard

View Sample

Section 12.5. Fazit

View Sample

Teil: I Anhang

View Sample

Download Chapter
0 TokensAnhang A: Checkliste für sichere Webapplikationen

View Sample

Download Chapter
0 TokensAnhang B: Wichtige Optionen in php.ini

View Sample

Section B.1. B.1 variables_order

View Sample

Section B.2. B.2 register_globals

View Sample

Section B.3. B.3 register_long_arrays

View Sample

Section B.4. B.4 register_argc_argv

View Sample

Section B.5. B.5 post_max_size

View Sample

Section B.6. B.6 magic_quotes_gpc

View Sample

Section B.7. B.7 magic_quotes_runtime

View Sample

Section B.8. B.8 always_populate_raw_post_data

View Sample

Section B.9. B.9 allow_url_fopen

View Sample

Section B.10. B.10 allow_url_include

View Sample

Download Chapter
0 TokensAnhang C: Liste aller Schwachstellen mit Gefahrenpotenzial-Bewertung

View Sample

Section C.1. C.1 Cross-Site Scripting

View Sample

Section C.2. C.2 Information Disclosure

View Sample

Section C.3. C.3 Full Path Disclosure

View Sample

Section C.4. C.4 SQL-Injection

View Sample

Section C.5. C.5 HTTP Response Splitting

View Sample

Section C.6. C.6 Cross-Site Request Forgery

View Sample

Section C.7. C.7 Remote Command Execution

View Sample

Section C.8. C.8 Mail-Header Injection

View Sample

Download Chapter
0 TokensAnhang D: Glossar

View Sample

Extras

The publisher has provided additional content related to this title.

Description	Content
These links have been provided by the publisher.	errata examples