* Peter Ross: > On Wed, 12 May 2004, Florian Weimer wrote: > >> Wenn dann nat�rlich Leute mit traditionellem PHP-Code herkommen, der >> tonnenweise Anweisungen der Form >> >> $sql = "SELECT * FROM users WHERE uid=$uid"; >> >> enth�lt, haben sie nat�rlich verloren. > > Es gibt Reverse-Proxies, die sich gleichzeitig "Sanitizer" schimpfen und > die man zwischen Internet und Proxuyserver
Webserver, nehme ich an. > zwischenschalten kann und meiner Meinung sollte (u.a. auch, um > z.B. bei einem Exploit, der Dir Zugriff zum Webserver verschafft, > nicht gleich die Datenbank kontaktiert werden kann) Microsoft bietet das in Form von URLscan an (wobei es angeblich immer noch ISAPI-Erweiterungen mit h�herer Priorit�t gibt). I.d.R. kann man das recht schmerzlos aktivieren. Damit hat man gute Chancen, langfristig Apache zu schlagen, was das Vorhandensein von tats�chlich ausnutzenbaren Schwachstellen angeht. 8-) Eine Gew�hr ist das allerdings auch nicht, wie der externe Sanitizer. (Ich hab' zwar j�ngst nicht in den Apache-Code reingeschaut, ob das Problem gefixt wurde, aber f�r den Chunked-Encoding-Bug haben sie einen Fix eingebaut, der beweisbar wirkungslos ist. GCC 4.0 wird die Wirkungslosigkeit eventuell beweisen k�nnen und ihn dann als toten Code entfernen...) > Pound z.B. wuerde Dir bei dem oben genannten PHP-Code aushelfen. Wirklich? Ich habe mir mal Pound 1.7 angeschaut und es h�lfe nicht die Bohne. F�r SQL Relay ist etwas, was helfen w�rde, angek�ndigt. Mir ist allerdings nichts bekannt, was ad hoc verf�gbar w�re, bezahlbar und nicht Snake Oil ist. -- Current mail filters: many dial-up/DSL/cable modem hosts, and the following domains: atlas.cz, bigpond.com, di-ve.com, hotmail.com, jumpy.it, libero.it, netscape.net, postino.it, simplesnet.pt, tiscali.co.uk, tiscali.cz, tiscali.it, voila.fr, yahoo.com. -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
