Auf Sicherheit prüfen

  • Hallo Forum :)
    Ich habe gradeben nach 25minuten Arbeit meine league of legends-namens-eintraguns-seite fertiggestellt.
    Ich wollte euch mal fragen ob diese auch sicher ist und man nicht irgendwie alles voll spamen kann bzw. Passwörter auslesen kann.
    Hoffe auch freundliche antwort bin ein anfänger in php ^^


    Das einzige was fehlt ist ein Link zum hinzufügen eines freundes über die offizielle homepage.


    Hier ist mal meine Page:


    http://leagueoflegends.the-franky.de/


    Regards


    Update:
    "Da ich jetzt schlafen gehe und mir das schon ein bisschen unsicher ist , was ihr da schon gemacht habt :D
    Lösche ich erstmal die Datein wieder und werde Sie morgen wieder adden wenn ich zuhause bin.
    Gute Nacht"

  • Habe ich seid 2minuten geändert :D
    Habe die seiten halt erst immer getestet und vergessen es zu ändern.
    Sollte eigentlich klappen :)


    Edit:
    Dort war jemand lustig


    Code
    1. Löschen <script>alert(';)');</script> <script>alert(';)');</script>


    Nunja dann lasse ich das script draußen :P

  • Hmm also ne XSS (Cross Side Scripting Lücke) hab ich schonmal.
    Cross Side Scripting heißt, dass ich JavaScript durch meine Registrierung in die Seite einfügen kann.
    Siehe die JS-Alerts mit dem Inhalt :)


    Damit kann man nochmehr anstellen wie z.B. die komplette Seite verändern.
    Die solltest du auf jeden Fall schließen.

  • Hmm also ne XSS (Cross Side Scripting Lücke) hab ich schonmal.
    Cross Side Scripting heißt, dass ich JavaScript durch meine Registrierung in die Seite einfügen kann.
    Siehe die JS-Alerts mit dem Inhalt :)


    Damit kann man nochmehr anstellen wie z.B. die komplette Seite verändern.


    Sollte gefixt sein.
    Habe die script funktion einfach gelöscht ^^


    Edit: Da hat noch jemand nen Fehler gemacht mit


    <iframe src="www.google.ch"></iframe>


    Wie könnte ich sowas verhindern ?

  • puh, überprüfe einfach mal die eingaben via regex.
    Sonst passiert da schnell was. :)


    Ich setze mich morgen mal hin und schau mir regexe an.
    Kenne mich da jetzt nicht so aus habe nur mal was mit

    Code
    1. str_replace


    gemacht.


    Könnte ich die funktion nicht auch nehmen ? Das alle < > " ( ) ersetzt werden.

  • htmlspecialchars hilft:
    http://php.net/manual/de/function.htmlspecialchars.php


    PHP
    1. $sicherer_text = htmlspecialchars($unsicherer_text);



    Ich weis allerdings nicht wie dass bei SQL-Injections aussieht. Da haben sich ja schon welche dran gemacht.


    Gruß
    florian0

  • htmlspecialchars hilft:
    http://php.net/manual/de/function.htmlspecialchars.php


    Ich weis allerdings nicht wie dass bei SQL-Injections aussieht. Da haben sich ja schon welche dran gemacht.


    Gruß
    florian0


    Danke schön :)
    Ich werde mir das morgen mal anschauen.
    Update's sind im 1# Post.


    Gute nacht.


    Update: 15:21 Uhr
    Seite wieder online und zum testen bereit ^^


    Update: 16:43 sollte eigentlich nun sicher sein. Habe es mit htmlentities gemacht :)
    Bitte mal testen , danke