Skriptsicherheit

BB-BF-BM · Beitrag von **BB-BF-BM** » 13.01.2007 17:32

Hallo zusammen!
Ich habe nun endlich eine Klasse zum User-/Session-Management fertig.
Und da einige User sich sehr gut in Sachen Sicherheit von Webanwendungen auskennen, wollte ich meine Klasse vorstellen, um auf noch vorhandene Sicherheitslücken aufmerksam gemacht zu werden.

Ich nutze für das Skript Prepared Statements von MySQLi, um SQL-Injections vorzubeugen.

Ziel der Klasse ist es, dass man zum Weiterführen der Session bzw. zum Neuanlegen nur ein Objekt der Klasse erstellen und zum Ein- und Ausloggen nur je eine Funktion aufrufen muss.

Ich würde mich freuen, wenn sich jemand die Mühe macht, sich den Code auf Sicherheitslücken (und Verbesserungsvorschläge) durchzusehen.

So wird die Klasse eingebunden:

Code: Alles auswählen

<?php

define('ROOT_PATH', './');

require(ROOT_PATH.'includes/common.php');
require(ROOT_PATH.'includes/user.php');

?>

includes/common.php:
- als Text-Datei
- mit Syntax-Highlighting

includes/user.php (die eigentliche Klasse):
- als Text-Datei
- mit Syntax-Highlighting

Beitrag von **Pyramide** » 13.01.2007 18:17

Wenn du schon HTTP-Header sendest, solltest du auch gleich die richtigen nehmen. Also z.B. 500 (internal server error) oder 503 (service unavailable) bei gescheiterter Datenbankverbindung und 400 (bad request) bei nicht definiertem ROOT_PATH.

BB-BF-BM · Beitrag von **BB-BF-BM** » 13.01.2007 19:25

Vielen Dank, daran habe ich gar nicht gedacht; werde ich bei der nächsten Gelegenheit verbessern.