Aufbesserung meiner Kentnisse?

  • Sehr geehrte Community,
    da ich momentan etwas aktiver im Bereich Webentwicklung bin und mir bei den meisten Dingen irgendwie unstimmig bin, bräuchte ich mal ein wenig Hilfe von den erfahrenen Codern.
    Allgemein geht es hier jetzt um PHP, in Verbindung mit OOP habe ich das ganze nur einmal bei einem Burning Board Plugin benutzt, wobei ich keine Probleme habe.
    Nur meistens hab ich so ein komisches Bauch Gefühl und denke mir dann das dieser Code entweder total resourcendfressend oder gar falsch ist (Auch wenn er funktioniert).
    Was ich mir dabei auch dann denke ist das der Code (bspw. bei MySQL) relativ unsicher ist.
    Deshalb möchte ich ganz einfach mein Wissen in PHP mal total aufbessern, komplett PHP + OOP.
    Hätte da einer von euch evtl. ein gutes Buch oder auch eine Internet Seite die das genau erklärt?


    Vielen Dank im vorraus!

  • bei MySQL) relativ unsicher ist.


    Ich denke mal, es wird für MySQL, um seine Datenbanken zu schützen etwas ähnliches wie bei SAMP geben sprich:


    DB_Escape(parameter)
    mysql_real_escape
    %e. 
    und und und, sollte es wohl auch für normales SQL-92 geben. :)


    Engelsflügel am Astonkühler, als Schutz vor dem Teufel!

  • Die Strings zu escapen habe ich natürlich berücksichtigt, trotzdem habe ich dabei immer ein mulmiges Gefühl. ^^
    Bspw. hier habe ich ein mulmiges Gefühl wegen den Sessions:

    PHP
    $queryForm = "SELECT * FROM users WHERE userName = '".mysql_real_escape_string($_POST["login"])."' AND `userPass` = '".mysql_real_escape_string($_POST["password"])."'";
    				$query = mysql_query($queryForm);
    				$row = mysql_num_rows($query);
    				if($row = mysql_fetch_assoc($query)) {
    					$_SESSION["acpLogin"] = 1;
    					$_SESSION["userName"] = $_POST["login"];

    Einmal editiert, zuletzt von FRPSteve () aus folgendem Grund: Text bearbeitet

  • wegen den Sessions:


    Naja, bei den Sessions sollte nicht allzuviel passieren,
    Falls du diese geschlossen hast.


    Ansonsten kannst du ja auch zB. mal hier welche im Forum fragen, die sich damit besser auskennen, gibt ja genug.


    MFG


    Engelsflügel am Astonkühler, als Schutz vor dem Teufel!

  • Wie meinst du das genau mit "geschlossen"?


    PHP
    <?php
    session_start();
    ?>
    /*Session starten*/


    PHP
    <?php
    session_destroy();
    ?>
    /*Session zerstören / schließen*/


    Sicherheit und Anwedungsbereich:

    Zitat


    Sessions bieten zwar keine 100%tige Sicherheit, dennoch sind sie relativ sicher.
    Eine entführte (geklaute) Session-ID ermöglicht dem Dieb, auf alle Daten zuzugreifen, die mit dieser Session-ID verbunden sind.


    Wie bekommt der Angreifer denn die Sesion ID herraus?:

    Zitat


    Das passiert vor allem, wenn die andere Person eine URL mit der Session ID an eine weitere Person weitergibt. Dies kann aber auch passieren, wenn die Session IDs in den Logfiles auftauchen.


    Quelle: http://www.php-einfach.de/php-tutorial/php-sessions.php


    Engelsflügel am Astonkühler, als Schutz vor dem Teufel!