[NDesign-88]

Hey,

ich bin gerade dabei ein Script zu schreiben, welches sehr sensible Daten von Kunden enthält.
Ich habe mich für den Privat Verbrauch schon mit Scriptsicherheit auseinander gesetzt, da dies jedoch sehr Sensible Daten sind, wollte ich mich noch einmal Informieren was ich alles beachten muss.
Das Script besteht aus PHP und MySQL

zurzeit überprüfe ich alle Get und Post Eingaben mit array_walk sowie diesen Befehlen:

stripslashes()
addslashes()
htmlspecialchars()
htmlentities()
mysql_real_escape_string()

Außerdem habe ich einen SSL-Proxy Aktiv.

Was muss ich sonst noch Beachten?

Hoffe auf viele Beiträge, die mir noch Helfen könnten

[Smooth-Graphics]

Hast du Cookies oder Sessions im Einsatz?

[NDesign-88]

[Smooth-Graphics]

[NDesign-88]

Sry ein wenig undeutlich geschrieben ^^
In meiner Session habe ich 5 Werte..
die id, den nicknamen, das passwort, die gruppe, sowie einen erfundenen wert

Muss ich bei den Sessions noch Sicherheitsmaßnamen beachten?

[Smooth-Graphics]

Naja, man sollte die Session ID auf keinen Fall rausbekommen.

[m]

Smooth-Graphics spricht sicher Themen wie Session-Hijacking (http://de.wikipedia.org/wiki/Session-Hijacking) an.
Bekommt ein "Angreifer" eine gültige SessionId in die Hand kann er zum Beispiel Aktionen unter einem fremd Account
ausführen. Das kann auf vers. Weisen geschehen, Möglichkeiten wären z.B. das ausspähen von Cookies per XSS, die
Weitergabe einer URL von einem unwissendem User, usw. Eine mögliche Gegenmaßnahme wäre z.B. die Session Id
bei jedem Seitenaufruf neu zu generieren. Besser ist es natürlich, wenn es erst gar nicht dazu kommt dass ein "Angreifer"
eine gültige Session id eines fremd Accounts in die Hände bekommt, also alle XSS Lücken schließen, die Session Id nicht
per URL zu übergeben, usw. Das ganze ist ein weites Thema, und so allgemein ist deine Frage daher nicht zu beantworten
außer mit: eingehende Daten immer maskieren bzw. fiiltern oder validieren.

[NDesign-88]