O'Reilly logo

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren by Stefan Esser, Christopher Kunz

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

331
Stichwortverzeichnis
A
action (HTML-Attribut) 323
addslashes()
60
Alarm-Skripte
mod_security
293
Shell-Skript
266
allow_url_fopen
59, 61, 228, 318
always_populate_raw_post_data
317
Angriffe
auf Dateisystemfunktionen
49,
59, 61, 188
auf Shell-Ebene
62
Dictionary-Attacke
152
erster Ordnung
6
Man-in-the-Middle-Attacke
148
Session Riding
112
verschleiern. Siehe XSS Cheat
Sheet
91
zweiter Ordnung
7
Apache-Modul, PHP als ~ instal-
lieren
214
Applikationen erkennen
38
Aussehen/Layout
39
bestimmte Dateien
39
bestimmte Pfade
39
Header-Felder
39
Archive, gefährliche Zip-~
193
Autorisierung und Authentisierung
145
Benutzernamen und Kennungen
151
CAPTCHAs
166
falsche Request-Methode
163
falsche SQL-Abfrage
164
Login-Formulare
163
sichere Passwörter
152
SQL-Injection
165
SSL
147
vergessene Passwörter
158
XSS
165
B
Backdoor 323
Backtick-Operator
62
Betriebssystem erkennen
22
Bilder
PHP-Code in ~ einfügen
191
überprüfen
190
Blacklist-Prüfung
74
Blind SQL-Injection
123
Bruteforcing
179, 324
Buffer Overflows
246
C
Cache-Server 324
CAPTCHAs
166
Cast-Operator
324
Stichwortverzeichnis332
CGI
PHP als ~ installieren
216
Checkliste
311
Clientseitige Validierung
75
Content-Length
325
Content-Type
325
Cookies
325
Cookie Poisoning
63
Cookie-Parameter
126
Transport von Session-IDs
172
count()
70
Cross-Site Request Forgery. Siehe
CSRF
112
Cross-Site Scripting. Siehe XSS
81
CSRF
112
als Firewall-Brecher
114
BBCode
115
Gefahrenpotenzial
321
Schutz gegen ~
116
D
Dateien und Security 27
Dateien von Entwicklungswerk-
zeugen
30
Include- und Backup-Dateien
29
temporäre Dateien
28
vergessene oder versteckte
Dateien
31, 32
Datenbanksystem erkennen
26
versionsabhängige SQL-
Abfragen
26
Defacement
325
Default-User
41
Defense in Depth
5
Deserialisierung
210
Dictionary-Attacke 152
disable_classes
226
disable_functions
225
E
Eingaben überprüfen. Siehe Varia-
blen prüfen
67
esacpeShellCmd()
62
escapeshellarg()
63
eval()
61
exec()
62
Exploit_
326
F
FastCGI 235
Fehler in PHP
209
Fehlererzeugung
53
File-Upload-Bug
210
file_get_contents()
61
file_put_contents()
61
Fingerprinting
22, 326
fopen()
61
Format-String-Schwachstellen
248
Formulare
Formulardaten manipulieren
64
verstecke Formularfelder
327
Vervollständigung verhindern
85
Formularfelder, versteckte
327
fpassthru()
62
Full Path Disclosure_
320
G
GET 46
getimagesize()
117
GET-Parameter
124
get_env()
315
Google Hacking
42
H
Hardening-Patch 246
generelle Optionen
260
Installation
255
Konfiguration
260
Logging
263
Upload-Konfiguration
271
Variablenfilter
268
header()
55, 56
Hidden-Form-Felder
327
htmlentities()
72, 95
htmlspecialchars()
72
HTTP Response Splitting
12, 51, 55,
252, 263
Gefahrenpotenzial
320
HTTPrint
22
I
implode() 61
Information Disclosure
319
ISO 17799
9
333Stichwortverzeichnis
K
Kommentare aus HTML-Dateien 37
Kryptographische Funktionen
254
L
Logging 253, 263, 286, 287
Login
145, 165
Fehler in ~-Formularen
163
Siehe auch Autorisierung und
Authentisierung
145
SSL
147
M
magic_quotes_gpc 317
magic_quotes_runtime
317
Mailinglisten
12
BugTraq
14
Full Disclosure
13
Webappsec
15
Man-in-the-Middle-Attacke
148
Manipulation von Formulardaten
64
max_execution_time
226
max_input_time
226
memory_limit
226
mod_chroot
242
mod_security
242
Alarm-Skript
293
Installation
279
Konfiguration
280
Regelwerk
283
Rootjail
293
SecFilter
288
SecFilterSelective
288
verkettete Regeln
292
mod_speling
32
mod_ssl
147
mod_suid
237
N
Nullbytes 250
O
open_basedir 224
OWASP
15
Checkliste
311
P
Parameter Binding 140
Parametermanipulation
45
Browser
48
Proxies
51
Werkzeuge
48
Passwörter
149
sichere ~
152
vergessene ~
158
Penetrationstests
16
Pfade
32
mod_speling
32
Pfade verkürzen
37
robots.txt
33
Standardpfade
34
Phishing
328
PHP hä rten
kryptographische Funktionen
254
Logging
253
PHP härten
245
PHP installieren
214
Apache-Modul
214
CGI
216
erkennen
23
suExec
217
PHP 3
209
PHP-Code in ein Bild einfügen
191
PHP-Hardening. Siehe PHP härten
245
phpinfo()
28
php.ini-Optionen
315
POST
46
POST-Parameter
125
post_max_size
317
preg_replace()
61
Prepared Statements
140
Proxies
Clientseitige Validierung
75
HTTP Response Splitting
56
Manipulation von Formular-
daten
64
Parametermanipulation
48, 51
Sessions
179
SQL-Injection
126
Webscarab
48
Stichwortverzeichnis334
R
register_argc_argv 316
register_globals
75, 229, 316
register_long_arrays
316
Remote Command Execution
59
Gefahrenpotenzial
321
Remote-Includes
250
Response Splitting. Siehe HTTP
Response Splitting
252
robots.txt
33
Rootjails
241
BSD-Rootjails
241
mod_security
293
Rootkit
211, 329
runkit
229
S
Safe Mode 219
Einrichtung
220
Probleme
222
safe_mode_exec_dir
221
safe_mode_include_dir
221
Umgebungsvariablen
222
safe_mode_exec_dir
221
safe_mode_include_dir
221
Sandbox
229
Security Audit
329
Security-Ressourcen
OWASP
15
PHP-Sicherheit.de
16
Serialisierung
210
Server-Banner
19
Server-Variablen
127
Session Riding
112
Sessions
171
Abwehrmethoden 182
Bruteforcing
179
Page Ticket System
182
permissive Systeme
173
restriktive Systeme
173
schwache Session-ID-Generie-
rungsalgorithmen
177
Session Fixation
182
Session Hijacking
180
Sessions (Fortsetzung)
Session-Dateien mit Cronjob
löschen
184
Session-ID aus dem Referrer
löschen
184
Session-Timeout
178
Speicherung
174
setcookie()
56
settype()
68
Sicherheitskonzepte
7
SQL-Injection
6, 11, 27, 51, 54,
121, 165
Blind ~
123
Datenspalten zählen
134
Datentypen erkennen
135
Denial-of-Service
137
Gefahrenpotenzial
320
LOAD_FILE
136
Login-Formulare
165
ORDER BY
138
Parameter Binding
140
Prepared Statements
140
Schlüsselwörter
131
Schlüsselwort-Filterung
140
Schutz
139
Sonderzeichen
130
Sonderzeichen maskieren
139
Stored Procedures
142
Syntax
130
UNION
133
~-Möglichkeiten auffinden
123
SQL-Sonderzeichen
130
SSL
147, 330
Stored Procedures
142
strip_tags()
71, 94
strlen()
69
suExec
217
suPHP
231
system()
62
T
Team Teso 209, 210
Temporäre Dateien
28
Timeout
178
335Stichwortverzeichnis
U
Umgebungsvariablen 222
Upload-Formulare
187, 195
Aufbau
187
Speicherung
189
Upload-Einstellungen
227
User Mode Linux
242
V
Validierung, clientseitig 75
Variablen prüfen
67
auf Datentyp prüfen
68
Blacklist-Prüfung
74
Datenlänge prüfen
69
Inhalte prüfen
70
Whitelist-Prüfung
72
Variablenfilter
268
variables_order
315
Vordefinierte PHP-Variablen
manipulieren
65
W
WAF. Siehe Web Application
Firewall
6
Web Application Firewall
6
Webscarab-Proxy
48
Webserver
18
Server-Banner erfragen
19
~-Fingerprinting
22
~-Verhalten interpretieren
21
WebserverFP
22
Whitelist-Prüfung
72
X
XSS 6, 11, 81, 163, 165, 180, 188,
290
BBCode
97
Beispiele
87
DOM
104
einfache Gegenmaßnahmen
94
Gefahrenpotenzial
319
HTML erlauben
97
HTML-Filter
98
Login
165
RSS
111
XSS Cheat Sheet
91
XSS in HTTP-Headern
107
XSS-Entfernung
98
Siehe auch CSRF
112
Z
Zertifikate 147
Zip-Archive, gefährliche
193
Zwischenablage
85, 103

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required