Announcement

**Christian Marquardt** · 27.01.2012, 13:47

Wird diese Datei auf den Client geladen, oder kann der Anwender nur den HTML-Text sehen?

Nein, der Anwender kann nur den erzeugten HTML-Quelltext sehen. Liegt die php-Datei allerdings mit den falschen Rechten im Documentenroot der Webanwendung, kann man diese nat�rlich downloaden, wenn man Namen und Ort kennt.

Daten sollten dann per POST gesandt werden und nicht mittels GET �ber die URL....

Offenbar sind hier aber viele grunds�tzliche Fehler gemacht worden.

**fanderlf** · 27.01.2012, 14:19

Zugangsdaten im Klartext speichern ist eigentlich ein absolutes nogo... ein simples Hashing schafft Abhilfe

Ich denke Du wirst bei Webseiten die Dir Dein Passwort zur�ckschicken k�nnen auch stutzig

**Christian Marquardt** · 27.01.2012, 14:24

Zugangsdaten im Klartext speichern ist eigentlich ein absolutes nogo

Es geht wohl um die Zugangsdaten zur DB. Diese sollten in config-Dateien liegen - au�erhalb des Documentenroot

**Falk Pr�fer** · 27.01.2012, 15:59

Hallo,

Originally posted by G�nther Weber View Post

...Nun kann man sich aber oben aus der Browserzeile den Text nehmen und die Parameter manipulieren. Auf diese Weise kann man Informationen abrufen, die einen nichts angehen, weil sie f�r einen anderen Kunden bestimmt sind. Wie k�nnen wir uns davor sch�tzen?

Mit der grundlegensten Regel der Webprogrammierung: Alle eingehenden Daten und Parameter sind SERVERSEITIG zu validieren! Die gleiche Regel, die einem Kunden nur bestimmte Links zur Informationen liefert mu� angewendet werden, wenn die Daten dann tats�chlich abgerufen werden.

Wenn du jemanden davon abhalten willst, bestimmte R�ume zu betreten, dann musst du daf�r sorgen, dass sein Schl�ssel nur an diesen T�ren schliesst. Es gen�gt nicht ihm nur SEINE T�ren zu zeigen und darauf zu hoffen das er die anderen nicht findet...

Gru� Falk

**G�nther Weber** · 27.01.2012, 17:13

Oben in der Zeile steht jetzt gerade http://entwickler-forum.de/newreply.php mit Parametern, die wohl meine login-Daten und diesen Thread repr�sentieren. Ist diese newreply.php f�r mich irgendwie einsehbar? Wenn ich unsere php Datei versuche mit c#zu lesen:

Code:

  try
            {
                WebClient myWebClient = new WebClient();
                myWebClient.DownloadFile(Quelle, Ziel);
            }
            catch (Exception e)
            {
                MessageBox.Show(e.Message);
            }

bekomme ich diese Fehlermeldung:

Der Remoteserver hat einen Fehler zur�ckgegeben: (404) Nicht gefunden.

Ist das dann sicher genug?

Auf Wunsch kann ich euch auch mal den Link mailen...

**Christian Marquardt** · 27.01.2012, 17:29

Oben in der Zeile steht jetzt gerade http://entwickler-forum.de/newreply.php mit Parametern, die wohl meine login-Daten und diesen Thread repr�sentieren.

Nein, ob ein g�ltiger Login vorliegt, ist in einem Cookie gespeichert. Hier stehen solche Daten nicht in der URL. Ist auch nicht erforderlich diese Infos von Seite zu Seite zu schieben -> Cookie

Ist das dann sicher genug?

Die Anwort sollte ein 401 oder 403 sein...Da aber hier nicht bekannt ist, was programmiert wurde, wenn versucht ohne Login die Seite aufzurufen, ist das nur raten

**G�nther Weber** · 27.01.2012, 17:56

ok, also wenn ich mir die url in meinem c# Test anschaue, mal etwas nachdenke, und dann die wahre Adresse schreibe, bekomme ich keine Fehlermeldung sondern tats�chlich eine Datei. Darin steht aber nicht der tats�chliche Inhalt, sondern eine MySQL Fehlermeldung.

Bleibt also nur das Problem der Validierung. Mit diesem Stichwort werde ich mal in den zahlreichen PHP Dokumentationen suchen...

nochmals vielen Dank.

Announcement

PHP Parameter in Browserzeile

PHP Parameter in Browserzeile

Comment

Comment

Comment

Comment

Comment

Comment

Comment