Kapitel 14. Sicherheit

PHP ist eine flexible Sprache, die sich in fast jede API einklinken kann, die auf den Rechnern angeboten wird, auf denen sie läuft. Da PHP als formularverarbeitende Sprache für HTML-Seiten entwickelt wurde, können Formulardaten, die an ein Skript gesendet werden, leicht verwendet werden. Diese Bequemlichkeit ist jedoch ein zweischneidiges Schwert. Genau die Funktionen, die es dir ermöglichen, schnell Programme in PHP zu schreiben, können denjenigen, die in deine Systeme einbrechen wollen, Tür und Tor öffnen.

PHP selbst ist weder sicher noch unsicher. Die Sicherheit deiner Webanwendungen hängt ganz von dem Code ab, den du schreibst. Wenn ein Skript zum Beispiel eine Datei öffnet, deren Name als Formularparameter an das Skript übergeben wird, könnte das Skript eine Remote-URL, einen absoluten Pfadnamen oder sogar einen relativen Pfad erhalten und so eine Datei außerhalb des Stammverzeichnisses der Website öffnen. Dadurch könnten deine Passwortdatei oder andere sensible Informationen offengelegt werden.

Die Sicherheit von Webanwendungen ist noch eine relativ junge und sich entwickelnde Disziplin. Ein einziges Kapitel über Sicherheit kann dich nicht ausreichend auf den Ansturm von Angriffen vorbereiten, dem deine Anwendungen mit Sicherheit ausgesetzt sein werden. In diesem Kapitel wird ein pragmatischer Ansatz verfolgt und eine ...