AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein [PHP] Session-Management - Sicherheit
Thema durchsuchen
Ansicht
Themen-Optionen

[PHP] Session-Management - Sicherheit

Ein Thema von fkerber · begonnen am 19. Jul 2009 · letzter Beitrag vom 19. Jul 2009
Antwort Antwort
Seite 2 von 2     12   
Benutzerbild von fkerber
fkerber
(CodeLib-Manager)

Registriert seit: 9. Jul 2003
Ort: Ensdorf
6.723 Beiträge
 
Delphi XE Professional
 
#11

Re: [PHP] Session-Management - Sicherheit

  Alt 19. Jul 2009, 21:12
Nein, eigentlich nicht. Da die index.php auch für das HTML-Grundgerüst sorgt, geht das nicht. Also dort wird der HTML-Rahmen ausgegeben und dann an den richtigen Stellen eben die PHP-Dateien inkludiert - also insbesondere im ausgeloggten Zustand die für den Login und wenn da jemand dann mutwillig eine andere einbindet, muss der Schutz greifen.


Grüße, Frederic
Frederic Kerber
  Mit Zitat antworten Zitat
Benutzerbild von jfheins
jfheins

Registriert seit: 10. Jun 2004
Ort: Garching (TUM)
4.579 Beiträge
 
#12

Re: [PHP] Session-Management - Sicherheit

  Alt 19. Jul 2009, 21:37
Ich kann dir ja mal zeigen, wie ich es gemacht hab:

Ich habe eine inc_auth.php die den Benutzer identifiziert. Jede Daei bindet dann diese includedatei ein und ruft anschließend eine Funktion auf, die prüft ob der User die Seite sehen darf.

Das sieht dann so aus:
Code:
<?php
include ('includes/inc_func.php');
include ('includes/inc_auth.php');

auth_check (2);

print_header (7);

$shownewblog = FALSE;
$showerrors = FALSE;

echo '<h1>Admin</h1>';
Zuerst werden die Dateien eingebunden. (inc_func.php enthält diverse Funktionen)

Dann wird die Funktion auth-check() aufgerufen, die überprüft, ob der Benutzer berechtigt ist, die Seite zu sehen. Die Zahl 2 steht hier für die Benutzergruppe "Admins"

Hier ist die inc_auth.php:
Code:
<?php
session_start ();

include ('inc_mysql.php');

if (empty ($_SESSION['username']))
{
   $_SESSION['username'] = 'guest';
   $_SESSION['pwd_hash'] = sha1('');
}

$res = mysqlquery ('select user.id,rights+0,path from user,templates where username="' . $_SESSION['username'] . '" and password="' . $_SESSION['pwd_hash'] . '" and user.template=templates.id');

if (mysql_num_rows ($res) == 1)
{
   $_SESSION['userid'] = mysql_result ($res, 0, 0);
   $_SESSION['rights'] = (int)mysql_result ($res, 0, 1);
   $_SESSION['tplpath'] = mysql_result ($res, 0, 2);
}
else
{
   $_SESSION['userid'] = 1;
   $_SESSION['username'] = 'guest';
   $_SESSION['pwd_hash'] = sha1('');
   $_SESSION['rights'] = 0;
   $_SESSION['tplpath'] = 'templates/default/';
}
?>
Wie man sieht wird - falls kein User eingeloggt ist - ein Gastbenutzer benutzt. Dieser sollte auch in der Datenbank vorhanden sein. Die Spalte "rights" in der Tabelle gibt an, welche Rechte der Benutzer hat - in diesem Fall isses eine 0 für Gäste, eine 1 für registrierte Benutzer und eine 2 für Admins.

Hier die Funktion auth_check()
Code:
function auth_check ($level)
{
   if ($_SESSION['rights'] < $level)
   {
     print_header ($_GET['site']);
     echo '
Sie haben nicht die ben&ouml;tigten Rechte f&uuml;r diesen Bereich, bitte loggen Sie sich ein!';
      parse_tpl ('logon', array ('target' => 'index.php', 'redirect' => $_SERVER['PHP_SELF']));
      print_footer ();
      exit;
   }
}
Falls der user nicht die Berechtigung hat, auf die Seite zuzugreifen, gibt sie eine Fehlermeldung aus und zeigt die Login-Seite (wird aus einem Template geparst).
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#13

Re: [PHP] Session-Management - Sicherheit

  Alt 19. Jul 2009, 21:52
@Julius: Du solltest noch mysqlrealescapestring() o.ä. nutzen. Es kann sonst ganz böse ausgehen, wenn der Benutzername im Session-Array ein Hochkomma enthält. Wenn ich das richtig sehe sind so problemlos SQL-Injections möglich.

Wenn du die Strings vorm Zuweisen des Session-Aeeays escapest, dann ist das natürlich in Ordnung. Doch das ist nicht ersichtlich. Daher der Hinweis.

Grüße, Matze
  Mit Zitat antworten Zitat
Benutzerbild von fkerber
fkerber
(CodeLib-Manager)

Registriert seit: 9. Jul 2003
Ort: Ensdorf
6.723 Beiträge
 
Delphi XE Professional
 
#14

Re: [PHP] Session-Management - Sicherheit

  Alt 19. Jul 2009, 21:57
Super, danke für das Beispiel!

Grüße, Frederic
Frederic Kerber
  Mit Zitat antworten Zitat
Benutzerbild von jfheins
jfheins

Registriert seit: 10. Jun 2004
Ort: Garching (TUM)
4.579 Beiträge
 
#15

Re: [PHP] Session-Management - Sicherheit

  Alt 19. Jul 2009, 22:31


Danke für die Mitteilung der kritischen Sicherheitlücke

Wenn man sowas wie
Code:
USERNAME" --
eingegeben hat, kam es tatdächlich zu einer Injection - durch den JOIN am Ende wurden aber glücklicherweise 2 Zeilen zurückgegeben (eine pro Template) sodass es doch nicht Funktionierte

Hier die gefixte Datei:
Code:
<?php
session_start ();

include ('inc_mysql.php');

if (empty ($_SESSION['username']))
{
   $_SESSION['username'] = 'guest';
   $_SESSION['pwd_hash'] = sha1('');
}

$res = mysqlquery ('select user.id,rights+0,path from user,templates where username="' . escape($_SESSION['username']) . '" and password="' . $_SESSION['pwd_hash'] . '" and user.template=templates.id');

if (mysql_num_rows ($res) == 1)
{
   $_SESSION['userid'] = mysql_result ($res, 0, 0);
   $_SESSION['rights'] = (int)mysql_result ($res, 0, 1);
   $_SESSION['tplpath'] = mysql_result ($res, 0, 2);
}
else
{
   $_SESSION['userid'] = 1;
   $_SESSION['username'] = 'guest';
   $_SESSION['pwd_hash'] = sha1('');
   $_SESSION['rights'] = 0;
   $_SESSION['tplpath'] = 'templates/jfclassicred/';
}
?>
Bevor hier wer anfängt zu hacken: Das Update ist natürlich schon online
  Mit Zitat antworten Zitat
Benutzerbild von Valle
Valle

Registriert seit: 26. Dez 2005
Ort: Karlsruhe
1.223 Beiträge
 
#16

Re: [PHP] Session-Management - Sicherheit

  Alt 19. Jul 2009, 22:33
Zitat von Matze:
@Julius: Du solltest noch mysqlrealescapestring() o.ä. nutzen. Es kann sonst ganz böse ausgehen, wenn der Benutzername im Session-Array ein Hochkomma enthält. Wenn ich das richtig sehe sind so problemlos SQL-Injections möglich.

Wenn du die Strings vorm Zuweisen des Session-Aeeays escapest, dann ist das natürlich in Ordnung. Doch das ist nicht ersichtlich. Daher der Hinweis.
Wetten der Server hatten magic_quotes aktiviert?
Ist das der Fall, so würde ein (weiteres) esacpen nämlich die Daten zerstören.

Edit:// ... ... Warum hab' ich in letzter Zeit immer so'n Pech mit solchen Kommentaren? Und warum haben in letzter Zeit immer mehr Server die magic_quotes deaktiviert? Noch sind die nämlich standard-mäßig bei PHP aktiviert.

Naja, trag' ich eben was anderes sinnvolles zum Thema bei. *g* Das ganze Problem wäre keins (oder ein geringeres), wenn ihr Code von Ausgabe trennen würdet. Dafür bietet sich zum Beispiel ein Template-System wie Smarty an. Außerdem bietet sich für die Programmierung von Webseiten mit PHP auch die Verwendung der MVC-Architektur an. Tut man dies und ruft ein Benutzer eine Seite auf, so wird für den Content eine Methode einer Klasse aufgerufen. Zum Beispiel so eine:

Code:
<?php

class MyController extends Controller {
    public function myAction()
    {
        // Hier Code einfügen
    }
}
An dieser Stelle wäre es ein leichtes, ein geeignetes Sicherheits-System zu implementieren. Dabei kommt es darauf an, wie komplex dieses sein soll. Wir benutzen eine Art RBAC-System, welches mit Rollen arbeitet. Möchten wir den Zugriff auf eine Ressource prüfen, so läuft das wie folgt:

Code:
// Dieser Code steht in der obigen Methode
if (!$this->has_role('view memberlist'))
    return 403;
Mittels des return-Codes kann so auf ganz einfache Art und Weise sogar der HTTP-Status festgelegt werden. Wenn man alles drumherum entsprechend gestaltet, so wäre es dann möglich durch diese einfachen Zeilen einen 403-Error auszugeben, was zugleich auch noch SEO-konform ist. Ähnliches kann man mit 404 bewerkstelligen:

Code:
try {
    $user = new User(strval($_GET['user']));
} except (UserNotFoundException) {
    return 404;
}
Die HTTP-Status-Codes für "Bad Request" und "Internal Server Error" haben ähnlichen Anreiz diese Funktion zu verwenden.

Mit freundlichen Grüßen,

Valle
Valentin Voigt
BOFH excuse #423: „It's not RFC-822 compliant.“
Mein total langweiliger Blog
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:00 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz