Nog best regelmatig kom ik hier scripts tegen die voor XSS vatbaar zijn. Ook met grote regelmaat zit er wel iets met SQL injection risico's tussen. Ik kom zelfs nog wel eens een gastenboekje dat textfiles zo invoegt dat je PHP kan injecteren tegen.
Is het niet beter als wij mensen meer alerter waarschuwen voor dergelijke risico's en misschien oude scripts nog eens nakijken hierop?
Ik geloof dat het probleem soms groter is dan het lijkt, maar gelukkig over het algemeen makkelijk op te lossen. Sowieso zou een algemene waarschuwing voor problemen goed zijn.
Voor de engels lezenden heb ik nog mijn eigen tutorial in de aanbieding (waarvoor ik nog graag toevoegingen aanneem). En waarvan ik misschien in de vakantie een nederlandstalige versie maak.
In ieder geval, hoe staan wij tegenover beveiligingsrisico's?
En ter disclaimer: het is niet de bedoeling om auteurs van minder veilige scripts te schaden, maar om mensen te waarschuwen voor risico's.
Ook ter disclaimer: gelieve geen verwijzingen naar oude discussie's en liever niet te veel offtopic gedoe, ik vind dit een redelijk serieus item.
Inderdaad,,, ik gebruik dan ook bijna nooit scripts van een iemand die net is begonnen met PHP omdat ze vaak zelfs nog niet eens een error afhandeling hebben laat staan beveiliging tegen SQL injection...
En ik maak toch liever mijn scripts zelf:)
En ik vind dan ook dat mensen die scripts zien waarbij SQL injection mogelijk is de gebruiker er attent op wil maken dat dit script dan niet SQL injection bestendig is zodat ze de risico's weten
Maar waarschuwt dit dan niet goed genoeg?
Als je ziet wat voor mensen er rond lopen die zomaar iets online zetten zonder mysql_real_escape_string() over hun data...
Maar inderdaad ff iets om serieus over na te denken.. verwijderen van alle niet goed beveiligde scripts lijkt me ook weer zo lullig..
Er zitten inderdaad wel goede tutorials tussen (vooral over SQL injection, laten we de andere problemen niet vergeten).
Eigenlijk zou iedereen de vuistregel "vertrouw nooit externe data" mee moeten krijgen. Dit is uiteindelijk de oorzaak van alle computer gevaren. Van buffer overflows en daarbij behorende commando injection tot SQL injection.
Misschien ook gewoon een algemene waarschuwing daar naar toe uitlaten gaan aan alle mensen die met PHP willen beginnen. En natuurlijk altijd mensen waarschuwen als er gaten zijn. Alles opruimen is inderdaad beetje overdreven.
Zeker een serieus probleem. Zeker omdat beginnende Php-ers hier niet gelijk aan denken of niet weten hoe erg het kan zijn. Beginnende php-ers nemen snel scripts gewoon over en gebruiken deze. Als de scripts dus al gepost worden zonder beveiliging worden deze meestal ook zo gebruikt.
De scriptlib opruimen is ook niet echt een slecht idee. scripts van 2jaar en ouder kan je vaak toch niet meer draaien op je server.
Misschien een idee om bij scripts een Security Level te zetten? Soort van punten systeem maar dan voor de veiligheid. Dus iedereen hier mag stemmen hoe goed hij de veiligheid van dat script vind (of dit moet ingevuld worden door een admin, kan ook en is wel iets betrouwbaarder)
Haha omdat jij ook mod bent :P
Maar lijkt me wel goed idee toch? Wie is er verder mee eens met een security level?
?
Onbekende gebruiker
19-12-2006 00:22
Wij kunnen het allemaal een goed plan vinden maar Bas moet het uiteindelijk maken.
Het lijkt me ook wel handig om duidelijke richtlijnen op te zetten. Want is een classe b.v. zelf verantwoordelijk voor de veiligheid van de data?
