Hallo Leute,
ich beschäftige mich gerade mit dem Aspekt der Sicherheit von Homepages. In meinem Fall ist es eine auf php-basierende Homepage, die an der ein oder anderen Stelle auf eine Datenbank mit vertraulichen Daten zugreift.
Nun möchte ich um jeden Fall den Inhalt dieser Datenbank schützen. Die Zugangsdaten der Datenbank sind in einer Datei abgespeichert, die ich mit den Rechten "644" abgespeichert habe. Diese Datei lade ich via Include() in alle Dateien, wo die Zugangsdaten benötigt werden.
Reicht das als "vollkommender" Schutz oder gibt es Dinge, auf die man auch noch achten sollte? Ich weiß es ist nicht möglich Php Dateien über andere Server auszugeben oder dergleichen, aber mal angenommen es ist nicht möglich auf den Server selbst zu kommen wo die Datei draufliegt, die Datei kann also nicht vom Server geladen werden, gibt es auch nur irgendeinen Weg um an die Daten in der Datenbank oder die Zugangsdaten aus der Datei zu kommen, wenn man nicht gerade die Zugangsdaten hat?
Noch eine weitere Frage:
An einer Stelle der Homepage werden automatisch generierte E-Mail versendet. Ich möchte nun nicht, dass mein Server zur Spamschleuder wird und will nicht, dass auf irgendeinem Wege der Mailheader beeinflusst werden kann. Es gibt einen vordefinierten Text und einen Header, der mit keinerleit Variablen gefüttert wird. Gibt es dennoch eine Möglichkeit die mail()-Funktion von außen zu missbrauchen?
Was sind die bekanntesten Schwachstellen die bei Homepages gerne mal vergessen werden und worauf man achten sollte?
Ich danke euch für jede Antwort die mir weiterhilft 
Gruß
Marcel
Marcel_O (136)  1x Beste Antwort 6x "Danke"
|
