Beveiligen met PHP onveilig

Google Plus One

Beveiligen met PHP onveilig

In Computeridee stond een artikel over het beveiligen van een website met behulp van PHP. Ik raad iedereen af dit script te gebruiken. Het is namelijk zeer onveilig. XSS- en SQL-injection zijn heel gemakkelijk toe te passen. Ook kan je zelf een cookie aanmaken en alsnog in het 'beveiligde' gedeelte komen. Gebruik liever sessies. Tot slot is het script niet getest met 'error_reporting(E_ALL | E_STRICT)'. Je krijgt dan onder andere 'undefined variable', 'deprecated function', en 'undefined constant assumed string' errors. Al met al deugt het script niet.

Wouter Nijland - dinsdag 13 april 2010

Andermaal uw FAQman onder vuur... Vooraf één ding. Als het script niet deugt, waarom werkt het dan wel? Dan de opmerking dat we niet de Nederlandse Bank zitten te beveiligen maar alleen even snel een paginaatje achter een foefje wegzetten. Voor wat betreft de waarschuwingen van PHP: die staan eigenlijk altijd en overal uit. Draai maar eens een Joomla-website terwijl ze aan staan. Moet u eens kijken wat u ziet! XSS injecteren, hoe dacht u dat hier te doen? Als u bedoelt het genereren van cookies met behulp van de webbrowser, dan heeft u mogelijk gelijk, maar zo eenvoudig is dat ook weer niet, want dan zit u even met de 'locatie' van die webpagina. Dat met het injecteren SQL moet u voor de grap eens proberen, want u loopt dan tegen de dubbele test op het wachtwoord aan. Toegegeven, als je weet welk cookie je moet hebben, dan kun je trucen. Maar hoe kom je daar achter? Iets anders... Inmiddels is er ter redactie de roep om een kleine weddenschap ontstaan. Uw FAQman is bereid om deze PHP-code (een ietsje aangepast, want er moet wat te raden overblijven, toch?) op een standaard Linux-server te zetten. Dan toch zeer benieuwd wie dat zonder 'Brute Force Approach' gekraakt krijgt. Maar nogmaals, we zitten niet de Nederlandse Bank te beveiligen...