Hallo zusammen,
in betracht dessen, dass meine Bemühungen in Richtung BS-F gehen, wollte ich hier mal eine generelle Frage stellen.
-Welche Sicherheitsmechanismen laufen schon in BS-F
Warum frage ich das?
Nun, wenn ich Operationen durchführen will, Fileuploads, inserts, etc, hab ich im php-f immer mit stripinput gefiltert. Ist das hier immer noch nötig, und was sollte man in betracht auf sicherheit in die eigenen Panels einbauen, mal abgesehen von dem $aidlink??
Erstmal das Security System 2.0, was die _GET Variablen prüft und dabei schon im Vorfeld alle UBB-Tags und HTML-Tags filter
Entweder du filterst mit stripinput oder htmlentities bei Inserts in die Datenbank verwende ich persönlich zusätzlich gerne noch mysql_escape_string.
Wichtig ist, dass man immer JEDE Variable richtig deklariert, damit das CMS sicher bleibt.
$_POST muß man immer besonderst überprüfen, da dies schlecht mit einem Sicherheitsmechanismus gemacht werden kann.
Immer nach dem Motto leben: "Verbiete viel, Erlaube wenig bei der Versendung von Formulareinträgen"
Jedes Formular kann manipuliert werden.
Für Administrative Sachen ist der $aidlink und die iAUTH , sowie die checkrights Überprüfung. relevant.
Das BSF erlaubt Eigene Infusionen auch ein eigenes Adminrecht zu definieren, dabei dürfen jedoch die Stamm-Adminrechte bis auf "IP" nicht verwendet werden.
Somit kann man im CMS einem Admin das spezielle Recht für die Infusion geben.
Mit der Funktion spam_control($text) kann ein Posttext auf Spams überprüft werden.