Einzelnen Beitrag anzeigen

Yheeky

Registriert seit: 7. Jun 2002
1.339 Beiträge
 
#10

Re: Programm- und Quellcodesicherheit

  Alt 15. Okt 2008, 19:11
Zitat von Phoenix:
Du kannst nie ausschliessen oder gar verhindern, das irgendwer Deine PHP-Scripte manuell mit beliebig gewählten Parametern aufruft. Ergo: die PHP-Scripte müssen darauf ausgelegt sein, dass sie nicht nur von Deiner anwendung immer 'richtig' benutzt werden, sondern sie müssen auch beliebige fehlerhafte Eingaben richtig handhaben können. Und sei es, dass einfach nur 'gar nichts' passiert und sich das Script zur Sicherheit selber beendet.
Ja natürlich, aber ich kann nicht verhindern, dass jemand meine PHP-Datei mit 100 Parametern aufruft, obwohl maximal nur 3 verarbeitet werden, oder?! Ich habe meine PHP-Datei so aufgebaut, dass ein "Befehl" vorgegeben wird (z.B. Login, Logout, etc) und dann Parameter folgen, die verarbeitet werden. Wenn in Befehl eine fremder Eingabe steht, passiert garnichts.

Zitat von Phoenix:
Erstens: Weder bei ASP.NET noch bei PHP sieht man den Quellcode. Okay, bei letzterem schon, wenn man entsprechende Rechte auf dem Server hat. Aber wenn man so weitgehende Rechte hat, dann kann man in der Regel sogar die Anwendung komplett umgehen (=> Datenbanklogin auslesen und direkt auf die DB...).
Naja, wenn der Server so schlecht eingerichtet ist, dass jeder darauf zugreifen kann dann ist das klar Nehmen wir mal an, der Server ist professionell eingerichtet worden.

Zitat von Phoenix:
Es gibt Delphi.NET - und das kann ASP.NET. Aber damit würde ich lieber noch ein klein wenig warten, bis Prism 8die neue Version von Delphi für .NET) draussen ist Die neue kann auch LINQ. Aber wie schon bei 2. gesagt: LINQ hilft Dir hier nichts.

Was willst Du denn eigentlich genau machen?
Okay, ich dachte nur an LINQ für den Fall, dass man bei ASP.NET Projekten nicht an den Quellcode kommt, denn dann könnte ich alles in einem Projekt verwirklichen und müsste nicht Delphi- und PHP-Code schreiben.

Was ich genau mache kann ich natürlich nicht verraten aber hier vielleicht ein Beispiel:
Stelle dir eine Plattform wie z.B. Wer-kennt-Wen oder StudiVZ vor (keine Angst, ich mache nichts in die Richtung, aber von den Funktionen her, kann man´s ganz gut vergleichen). Ich habe ein Login/Logout und kann bestimmte Profile anschauen oder nicht. Mit einfachem Ändern der Parameter soll es aber nicht doch möglich sein, an gesperrte Profile zu kommen. Wer-kennt-Wen arbeitet mit PHP und mit einem Frontend (was in meinem Fall dann Delphi darstellen würde).
Falls du möchtest, kann ich aber gern genauer auf meine Idee eingehen, aber ich hoffe du hast es schonmal im Ansatz verstanden.
  Mit Zitat antworten Zitat