Kategorie: PHP

MD5 application-salt – gegen Rainbow-Angriffe

MD5 application-salt – gegen Rainbow-Angriffe

Beim Erststart erzeugt eine neue seq_lib-Installation ein eigenes „salt“ und schreibt dieses in eine Datei. Ab sofort wird dieses „salt“ bei der Erzeugung von MD5-Hashes verwendet und erhöht so die Sicherheit gegen das Durchprobieren von Hash-Schlüsseln mit Hilfe sogenannter Rainbow-Tabellen....

Spamer beschnüffeln meine Formulare [Update]

Spamer beschnüffeln meine Formulare [Update]

Da ist es wieder, das Gesindel. Die Kontaktformulare werden wieder angetestet. Offensichtlich beliebt dabei ist die E-Mail des potentiellen Formularnutzers. Gedacht ist sie meist für die Antwort auf die im Formular gestellte Frage. Die Spamer gehen davon aus, dass dorthin...

Header-Manipulation-Angriff: Fileupload ohne Schutz

Header-Manipulation-Angriff: Fileupload ohne Schutz

Um sicherzustellen, dass eine Maske zum Hochladen von Dateien auf dem Server nur gewünschte Dateitypen akzeptiert, empfiehlt z.B. das PHP-Handbuch die Prüfung des Dateitypen, den der Browser an den Server meldet (). Die Bezeichnung des Dateitypen entspricht dem zugeordneten MIME-Type....

PHP: „intelligent“ Slashes entfernen [Update]

PHP: „intelligent“ Slashes entfernen [Update]

Eine Funktion, die etwas „Intelligenz“ bei der Säuberung der Ausgabe vor „Escapes“ (\) verwendet. Ganz egal, ob der String aus POST, GET, COOKIE (mit ein- oder ausgeschaltetem „magic_quotes_gpc“) kommt oder aus der Datenbank („escaped“ oder nicht), er wird korrekt aber...

TestSUITE für PHP

TestSUITE für PHP

Beim Erstellen von Funktionen und Klassen oder beim Testen von RegEx-Strings möchte ich die Gewissheit haben, dass der Code das macht, was ich denke, dass er machen soll. Damit das auch nach jeder Änderung überprüfbar ist, habe ich mir eine...

HTML-Ausgabe ohne XSS-Schwachstelle

HTML-Ausgabe ohne XSS-Schwachstelle

Bei den „Best practices“ des BSI von 2006 wird unter anderem die Filterung der Ausgabedaten behandelt. Es gibt dazu ein Beispiel einer Filterfunktion für Perl. Für PHP wird nur auf die üblichen Funktionen verwiesen. [code] * strips_tags() * htmlentities() [/code]...