danix
Goto Top

Einschätzung zur Gefahr bei selbstgeschriebenen PHP Scripten

Hallo,

ich bin kein Programmierer und habe für unsere Firma ein Zeit/Auftragserfassungs"programm" mit php und mysql geschrieben, da es so wie wir es brauchten diese Lösung nicht gab. Das ganze funktioniert auch so wie ich und alle anderen es wollen, einfach perfekt. Wenn jedoch ein Programmierer den Code sehen würde, wüsste er wohl nicht, ob er lachen oder weinen soll.. ich denke ihr versteht was ich meine. Wie bedenklich ist es dieses "Programm" einzusetzen, wenn die Funktion doch schon über Wochen hinweg gewährleistet war? Es werden täglich mit Acronis Images des kompletten Systems gemacht, so dass ich auch hier auf der sicheren Seite bin. Meine Frage also ist ein Code, der funktioniert und getestet ist, aber aus Programmierersicht wohl lachhaft ist, verwerflich oder nicht ...


Gruß
Danix

Content-ID: 23017

Url: https://administrator.de/contentid/23017

Ausgedruckt am: 06.11.2024 um 03:11 Uhr

8644
8644 07.01.2006 um 13:13:14 Uhr
Goto Top
Mahlzeit,

erstmal Respekt!
Wenn ein Nichtprogrammierer sich so weit durchwurschtelt, dass eine voll funktionsfähge Anwendung entsteht, ist das schon eine reife Leistung!

Ich wüsste nicht, was daran verwerflich sein sollte. Natürlich würdest du sicherlich einige Kritik ernten, wenn du deinen Code einem erfahrenen Programmierer vorlegst, aber musst du das wirklich tun?

Psycho
NaCkHaYeD
NaCkHaYeD 07.01.2006 um 13:25:05 Uhr
Goto Top
Vor was hast du Bedenken, Angst.

Das einen Lücke im System zu übergriffen in der Rechtsstruktur führen kann, oder dass einer das System bewusst manipulieren könnte?

Ich denke solange du dich im Intranet bewegts, werden die Risiken doch eher gering sein, und Missbrauch von Angestellten wird man nie ausschliesen können.

Solange du die MySQL Datenbank dicht machst, d.h. dass der Otto Normal Verbrauchen, nur lesen, schreiben, ändern kann, und du den Rest, solltes es von MySQL nichts zu beanstanden geben.

Auf dem Server solltes du dann sagen, dass User nur lesen dürfen, nicht aber das Verzeichnis anzeigen dürfen. Wenn du dann bei jeder Datei .php hinterdran hast, kann auch keiner den Quelltext ohne entsprechende Rechte sehen.

mfg
Thomas
danix
danix 07.01.2006 um 14:09:50 Uhr
Goto Top
Das einen Lücke im System zu übergriffen in der Rechtsstruktur führen kann, oder dass einer das System bewusst manipulieren könnte?

Sollte dieses System beeinflusst werden wäre dies nicht all zu schlimm, es ist ein Stand Alone Terminal...

Ich denke solange du dich im Intranet bewegts, werden die Risiken doch eher gering sein, und Missbrauch von Angestellten wird man nie ausschliesen können.

Das Terminal ist nur im LAN unterwegs.

Solange du die MySQL Datenbank dicht machst, d.h. dass der Otto Normal Verbrauchen, nur lesen, schreiben, ändern kann, und du den Rest, solltes es von MySQL nichts zu beanstanden geben.

dies ist der Fall.


Auf dem Server solltes du dann sagen, dass User nur lesen dürfen, nicht aber das Verzeichnis anzeigen dürfen. Wenn du dann bei jeder Datei .php hinterdran hast, kann auch keiner den Quelltext ohne entsprechende Rechte sehen.

alle Dateien sind php.

Desweiteren erhalten die User nur einen Touchscreen, keine Tastatur und nur die nötigsten Schaltflächen und Bordmittel.

Gruß
Danix