|
[PHP] Session-Management - Sicherheit
Hi!
Es geht darum, sicherzustellen, dass keiner unrechtmäßiger Weise sich Zugriff auf Funktionen besorgen kann, die er nicht erreichen soll. (Die Sachen sind nur im geschützten LogIn-Bereich verfügbar). Bislang sieht es so aus (das funktioniert auch - erscheint mir aber u.U. zu umständlich): Es gibt eine zentrale index.php - in der steht ein "<? session_start(); ?>" am Anfang drin und bei erfolgreichem LogIn wird in $_SESSION passendes eingetragen. Alle Inhaltsdateien werden nur in diese index included - auf ein Aufruf der Datei test.php erfolgt über ?site=test Um jetzt die Datei test.php vor bösen Menschen zu schützen sieht sie so aus;
Code:
Da das in allen Dateien drinsteht, sind Änderungen mehr als lästig...
if (!(isset($_SESSION['userID'])))
{ echo "<meta http-equiv='refresh' content='1; URL=./'>"; echo "Login erforderlich</div> "; echo "Sollten Sie nicht weitergeleitet werden, klicken Sie [url='./']hier[/url]!"; } else { /* EIGENTLICHER INHALT */ } Jetzt kam die Idee auf, man könne das ja vllt. alles in einen Funktionsaufruf auslagern. Wunschvorstellung wäre, das die test.php dann nur noch so aussieht:
Code:
Die Frage wäre jetzt, schafft man es, eine solche Funktion check() zu schreiben die in 100% (also wirklich 100%) aller denkbaren Fälle sicherstellt, dass niemand den eigentlichen Inhalt zu sehen bekommt, der ihn nicht sehen sollte. Durch den Verlust der if-else-Struktur würde ich u.U. befürchten, dass jemand den Reload abbrechen könnte oder ähnliches.
check();
/* EIGENTLICHER INHALT */ Grüße, Frederic |
Re: [PHP] Session-Management - Sicherheit
Du kannst die weitere Verarbeitung durch PHP mit exit bzw. die beenden.
Somit kann deine Funktion so aussehen...
Code:
Aber mal was grundlegendes: PHP- und HTML-Code zu vermischen ist nicht gerade schön.
function check() {
if (!(isset($_SESSION['userID']))) { echo "<meta http-equiv='refresh' content='1; URL=./'>"; echo "<div>Login erforderlich</div> "; echo "Sollten Sie nicht weitergeleitet werden, klicken Sie [url='./']hier[/url]!"; exit; } } |
Re: [PHP] Session-Management - Sicherheit
Hi!
Und das stellt dann sicher, dass der redirect durchgeführt wird, aber die Seite nicht weiter angezeigt wird? Zitat:
Grüße, Frederic |
Re: [PHP] Session-Management - Sicherheit
ein kleines Templatesystem, die HTML-Seiten per include reinladen, oder einen redirect zur HTML-Fehler-Seite.
|
Re: [PHP] Session-Management - Sicherheit
Hi!
Naja, ein redirect wird direkt ja nicht gehen, da der Header schon weg ist und lohnt sich für den Dreizeiler jetzt wirklich ein Include einer HTML-Datei? Was ist an der aktuellen Machart schlecht? Grüße, Frederic |
Re: [PHP] Session-Management - Sicherheit
Der Header ist doch erst "weg", wenn die erste Ausgabe erfolgt ist.
|
Re: [PHP] Session-Management - Sicherheit
Ja, aber die Datei ist ja in der index.php inkludiert.
Und da ist ja schon oben ein Banner z.B. raus oder das Menü o.ä. Grüße, Frederic |
Re: [PHP] Session-Management - Sicherheit
Aber doch nicht, wenn Du gleich als erstes die Prüfung vornimmst.
|
Re: [PHP] Session-Management - Sicherheit
Wie meinst du das?
Der Aufbau ist: index.php --> darin inkludiert z.B. header.php und eben dann auch $_GET["site"].php inkludiert - und da ist diese Prüfung dann drin. Grüße, Frederic |
Re: [PHP] Session-Management - Sicherheit
Achso, die Reihenfolge lässt sich nicht ändern?
|
Re: [PHP] Session-Management - Sicherheit
Nein, eigentlich nicht. Da die index.php auch für das HTML-Grundgerüst sorgt, geht das nicht. Also dort wird der HTML-Rahmen ausgegeben und dann an den richtigen Stellen eben die PHP-Dateien inkludiert - also insbesondere im ausgeloggten Zustand die für den Login und wenn da jemand dann mutwillig eine andere einbindet, muss der Schutz greifen.
Grüße, Frederic |
Re: [PHP] Session-Management - Sicherheit
Ich kann dir ja mal zeigen, wie ich es gemacht hab:
Ich habe eine inc_auth.php die den Benutzer identifiziert. Jede Daei bindet dann diese includedatei ein und ruft anschließend eine Funktion auf, die prüft ob der User die Seite sehen darf. Das sieht dann so aus:
Code:
Zuerst werden die Dateien eingebunden. (inc_func.php enthält diverse Funktionen)
<?php
include ('includes/inc_func.php'); include ('includes/inc_auth.php'); auth_check (2); print_header (7); $shownewblog = FALSE; $showerrors = FALSE; echo '<h1>Admin</h1>'; Dann wird die Funktion auth-check() aufgerufen, die überprüft, ob der Benutzer berechtigt ist, die Seite zu sehen. Die Zahl 2 steht hier für die Benutzergruppe "Admins" Hier ist die inc_auth.php:
Code:
Wie man sieht wird - falls kein User eingeloggt ist - ein Gastbenutzer benutzt. Dieser sollte auch in der Datenbank vorhanden sein. Die Spalte "rights" in der Tabelle gibt an, welche Rechte der Benutzer hat - in diesem Fall isses eine 0 für Gäste, eine 1 für registrierte Benutzer und eine 2 für Admins.
<?php
session_start (); include ('inc_mysql.php'); if (empty ($_SESSION['username'])) { $_SESSION['username'] = 'guest'; $_SESSION['pwd_hash'] = sha1(''); } $res = mysqlquery ('select user.id,rights+0,path from user,templates where username="' . $_SESSION['username'] . '" and password="' . $_SESSION['pwd_hash'] . '" and user.template=templates.id'); if (mysql_num_rows ($res) == 1) { $_SESSION['userid'] = mysql_result ($res, 0, 0); $_SESSION['rights'] = (int)mysql_result ($res, 0, 1); $_SESSION['tplpath'] = mysql_result ($res, 0, 2); } else { $_SESSION['userid'] = 1; $_SESSION['username'] = 'guest'; $_SESSION['pwd_hash'] = sha1(''); $_SESSION['rights'] = 0; $_SESSION['tplpath'] = 'templates/default/'; } ?> Hier die Funktion auth_check()
Code:
Falls der user nicht die Berechtigung hat, auf die Seite zuzugreifen, gibt sie eine Fehlermeldung aus und zeigt die Login-Seite (wird aus einem Template geparst).
function auth_check ($level)
{ if ($_SESSION['rights'] < $level) { print_header ($_GET['site']); echo ' Sie haben nicht die benötigten Rechte für diesen Bereich, bitte loggen Sie sich ein!'; parse_tpl ('logon', array ('target' => 'index.php', 'redirect' => $_SERVER['PHP_SELF'])); print_footer (); exit; } } |
Re: [PHP] Session-Management - Sicherheit
@Julius: Du solltest noch mysqlrealescapestring() o.ä. nutzen. Es kann sonst ganz böse ausgehen, wenn der Benutzername im Session-Array ein Hochkomma enthält. Wenn ich das richtig sehe sind so problemlos SQL-Injections möglich.
Wenn du die Strings vorm Zuweisen des Session-Aeeays escapest, dann ist das natürlich in Ordnung. Doch das ist nicht ersichtlich. Daher der Hinweis. ;) Grüße, Matze |
Re: [PHP] Session-Management - Sicherheit
Super, danke für das Beispiel!
Grüße, Frederic |
Re: [PHP] Session-Management - Sicherheit
:wall:
Danke für die Mitteilung der kritischen Sicherheitlücke :oops: Wenn man sowas wie
Code:
eingegeben hat, kam es tatdächlich zu einer Injection - durch den JOIN am Ende wurden aber glücklicherweise 2 Zeilen zurückgegeben (eine pro Template) sodass es doch nicht Funktionierte :mrgreen:
USERNAME" --
Hier die gefixte Datei:
Code:
Bevor hier wer anfängt zu hacken: Das Update ist natürlich schon online :P
<?php
session_start (); include ('inc_mysql.php'); if (empty ($_SESSION['username'])) { $_SESSION['username'] = 'guest'; $_SESSION['pwd_hash'] = sha1(''); } $res = mysqlquery ('select user.id,rights+0,path from user,templates where username="' . escape($_SESSION['username']) . '" and password="' . $_SESSION['pwd_hash'] . '" and user.template=templates.id'); if (mysql_num_rows ($res) == 1) { $_SESSION['userid'] = mysql_result ($res, 0, 0); $_SESSION['rights'] = (int)mysql_result ($res, 0, 1); $_SESSION['tplpath'] = mysql_result ($res, 0, 2); } else { $_SESSION['userid'] = 1; $_SESSION['username'] = 'guest'; $_SESSION['pwd_hash'] = sha1(''); $_SESSION['rights'] = 0; $_SESSION['tplpath'] = 'templates/jfclassicred/'; } ?> |
Re: [PHP] Session-Management - Sicherheit
Zitat:
Ist das der Fall, so würde ein (weiteres) esacpen nämlich die Daten zerstören. Edit:// ... :duck: ... Warum hab' ich in letzter Zeit immer so'n Pech mit solchen Kommentaren? Und warum haben in letzter Zeit immer mehr Server die magic_quotes deaktiviert? Noch sind die nämlich standard-mäßig bei PHP aktiviert. Naja, trag' ich eben was anderes sinnvolles zum Thema bei. *g* Das ganze Problem wäre keins (oder ein geringeres), wenn ihr Code von Ausgabe trennen würdet. Dafür bietet sich zum Beispiel ein Template-System wie  Smarty an. Außerdem bietet sich für die Programmierung von Webseiten mit PHP auch die Verwendung der MVC-Architektur an. Tut man dies und ruft ein Benutzer eine Seite auf, so wird für den Content eine Methode einer Klasse aufgerufen. Zum Beispiel so eine:
Code:
An dieser Stelle wäre es ein leichtes, ein geeignetes Sicherheits-System zu implementieren. Dabei kommt es darauf an, wie komplex dieses sein soll. Wir benutzen eine Art RBAC-System, welches mit Rollen arbeitet. Möchten wir den Zugriff auf eine Ressource prüfen, so läuft das wie folgt:
<?php
class MyController extends Controller { public function myAction() { // Hier Code einfügen } }
Code:
Mittels des return-Codes kann so auf ganz einfache Art und Weise sogar der HTTP-Status festgelegt werden. Wenn man alles drumherum entsprechend gestaltet, so wäre es dann möglich durch diese einfachen Zeilen einen 403-Error auszugeben, was zugleich auch noch SEO-konform ist. Ähnliches kann man mit 404 bewerkstelligen:
// Dieser Code steht in der obigen Methode
if (!$this->has_role('view memberlist')) return 403;
Code:
Die HTTP-Status-Codes für "Bad Request" und "Internal Server Error" haben ähnlichen Anreiz diese Funktion zu verwenden.
try {
$user = new User(strval($_GET['user'])); } except (UserNotFoundException) { return 404; } Mit freundlichen Grüßen, Valle |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:00 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz