Wie kann ich Code Injection in meinen Scripten verhindern?

~ 0 min
02.12.2019

Eine wirksame Maßnahme gegen einen Angriff durch sogenanntes Code Injection ist ein .htaccess-Eintrag:

Erstellen Sie in dem Ordner, in dem Ihre Scripte liegen eine Datei namens ".htaccess". Diese sollte den folgenden Inhalt haben:

RewriteEngine on
RewriteCond %{QUERY_STRING} http[:%] [NC]
RewriteRule .* /------------http----------- [F,NC]
RewriteRule http: /---------http----------- [F,NC]

Dies blockt alle URLs ab, die über ein externes Include Ihrer Dateien aufgerufen werden sollen. Aus diesem Grund ist dies nur zu empfehlen, wenn Ihre Scripts auf keinen Fall externe Includes verwenden sollen.

Eine weitere Sicherheit bietet das deaktivieren der PHP Direktive allow_url_fopen. Hierzu müssen Sie eine Datei namens php.ini in Ihrem Verzeichnis erstellen, das den folgenden Inhalt hat:

allow_url_fopen = Off

Durch diesen Eintrag wird festgelegt, ob PHP Dateien per http aufrufen darf. Dies wird beispielsweise bei Aufrufen von RSS Feeds benötigt, sollte aber deaktiviert sein, wenn es von den Scripts nicht benötigt wird.

Durchschnittliche Bewertung 0 (0 Abstimmungen)

Kommentieren nicht möglich