200924Aug

PhpSecInfo: Mehr Sicherheit in PHP-Projekten

Bei der Entwicklung von größeren PHP-Projekten kann es schnell passieren, dass sich Sicherheitslücken oder andere ungewollte Ereignisse einschleichen. Eine große Hilfe dabei ist die Benutzung eines PHP-Frameworks. Wer dennoch den kompletten Code selbst schreiben möchte, der kann sich mit PhpSecInfo etwas besser absichern. Das Projekt gibt es schon relativ lange, aber vielleicht ist es nicht jedem bekannt.
Die kleine Funktion des PHP Security Consortiums stellt ein Pendant zu "phpinfo()" dar und ermittelt die Einstellungen (z.B. "allow_url_fopen", "magic_quotes_gpc", "memory_limit" oder "register_globals") der PHP-Konfiguration (php.ini). PhpSecInfo analysiert die eingestellten Parameter und stuft die Werte in drei Sicherheitsstufen ein (Notice, Pass, Warning).

PHPSecInfo

Zu den einzelnen Tests von PhpSecInfo gibt es auf der Website Details und Verbesserungsvorschläge. Die Funktion selbst nimmt keinerlei Änderungen vor und überprüft auch nicht den eigentlichen Code des Projekts. Wer mit MySQL arbeitet, sollte seine Abfragen auf Verwundbarkeit testen.
Neben PHPSecInfo bietet das PHP Security Consortium eine tolle Dokumentation zu PHP-Sicherheit an: Das PHP Security Guide enthält Infos und Best Practices zu vielen Aspekten wie Filterung, Form-Verarbeitung, Cross-Site Scripting, Sessions oder Datenbanken.

RSS-Feed abonnieren Bookmark bei Del.icio.us