Drucksache: PHP Magazin 5.2013 - PHP-Sicherheit von PHP 4.x bis PHP 5.5
Im PHP Magazin 5.2013 ist ein Artikel über die Sicherheit von PHP im Laufe der Zeit erschienen. Und da hat sich einiges getan:
-
register_globals
- ab PHP 4.2.0 per Default ausgeschaltet, in PHP 5.3.0 als "deprecated" (veraltet) eingestuft, in PHP 5.4.0 entfernt -
allow_url_fopen
- direkt nach PHP 4.0.3 eingeführt, umfopen()
-Zugriffe über FTP und HTTP ein- bzw. auszuschalten -
allow_url_include
- eingeführt in PHP 5.2.0, ausgeschaltet wird damit aus einer Remote File Inclusion eine ein winziges Stück weniger gefährliche Local File Inclusion - Magic Quotes - gut gemeint, schlecht gemacht und inzwischen abgeschafft: In PHP 5.3.0 "deprecated", in PHP 5.4.0 entfernt
- Safe Mode - ein zweifelhafter Schutz, ebenfalls in PHP 5.3.0 "deprecated", in PHP 5.4.0 entfernt
-
open_basedir
- seit PHP 5.3.0 zur Laufzeit weiter einschränkbar, wenn die Einstellung in derphp.ini
zu großzügig ist - Das klassische MySQL-API, dass die gegen SQL Injection immunen Prepared Statements mit parametriesierten Aufrufen nicht unterstützt, ist seit PHP 5.5.0 "deprecated", sein Ende ist also in Sicht
-
password_hash()
und Co. - vier neue Funktionen zur sicheren Speicherung und Verarbeitung von Passwörtern: Neu in PHP 5.5.0
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] PHP Manual: Beschreibung der php.ini-Direktiven des Sprachkerns - register_globals
- [2] Carsten Eilers: "File Inclusion: Das Einbinden von Dateien öffnet Schadcode Tür und Tor", PHP Magazin 6.2010
- [3] PHP Manual: Laufzeit-Konfiguration - allow_url_include
- [4] PHP Manual: Magic Quotes
- [5] PHP Manual: Safe Mode
- [6] PHP Manual: Functions restricted/disabled by safe mode
- [7] PHP Manual: Beschreibung der php.ini-Direktiven des Sprachkerns - open_basedir
- [8] PHP Manual: MySQL Introduction
- [9] Carsten Eilers: "...und die Datenbank gehorcht dem Angreifer", PHP User Magazin 2.2010
- [10] Carsten Eilers: "Passwortlecks ohne Ende?"
- [11] Free Rainbow Tables
- [12] Request for Comments: Adding simple password hashing API
- [13] Wikipedia: bcrypt
- [14] PHP Manual: Password Hashing
- [15] Anthony Ferrara: password_compat
Trackbacks