Referent: Alexander Fend
Vortrag beim LinuxDay 2012 in Dornbirn.
In der heutigen Zeit entscheiden Sicherheitsthematiken mehr denn je über den Ruf von Firmen, Institutionen oder Privatanwender. Sony, Google, Microsoft - alles namhafte Hersteller und dennoch Opfer von einfachsten Angriffen wie SQL Injection, Social Engineering oder Cross Site Scripting.
Der Vortrag wird grundlegende Informationen über Websicherheit geben, sowie die Theorie des „sicheren Programmierens“ ansprechen. Eine kurze Demonstration rundet den einstündigen Vortrag dann ab.
Secure Scripting SIG Security Köln Dienstag, 16. Oktober 2012
Wo hin nur mit den Passwörtern in Oracle Scripten?
Passwörter "verstecken"
Datenbank Skripte vor Manipulationen schützen
Was ist neu im neusten Major Release von WeOS 4? Das neue WeOS 4.29 ist da und bringt einige Neuheiten mit sich mit. Zu dem ist auch eine neue Version WeConfig 1.13.1 erschienen, die ebenfalls einige Neuheiten im Gepäck hat. Lassen Sie sich die Neuheiten von unserem Cyber Security Experten Erwin Lasinger zeigen und nutzen Sie die neuen Versionen mit ihren tollen neuen Funktionen.
SNMP Applied - Sicheres Monitoring mit SNMPGerrit Beine
Der Vortrag gibt Unix-Nutzern einen Einblick, wie man Net-SNMP zum Monitoring und Steuern beliebiger Anwendungen nutzen kann.
Der Schwerpunkt liegt dabei auf dem Thema der Absicherung des SNMP-Dienstes mit Hilfe von SSL/TLS und Authentifizierung.
Als Beispiele dienen hierzu SNMP4J und Net-SNMP.
Dieser Vortrag erklärt, was der PHP_CodeSniffer ist, was er kann, wozu er gut ist, wie man einen eigenen Standard mit eigenen Regeln erstellt und warum man Ihn nutzen sollte.
Er wurde am 22. September 2010 bei der PHP Usergroup Düsseldorf, Duisburg, Krefeld gehalten.
Referent: Alexander Fend
Vortrag beim LinuxDay 2012 in Dornbirn.
In der heutigen Zeit entscheiden Sicherheitsthematiken mehr denn je über den Ruf von Firmen, Institutionen oder Privatanwender. Sony, Google, Microsoft - alles namhafte Hersteller und dennoch Opfer von einfachsten Angriffen wie SQL Injection, Social Engineering oder Cross Site Scripting.
Der Vortrag wird grundlegende Informationen über Websicherheit geben, sowie die Theorie des „sicheren Programmierens“ ansprechen. Eine kurze Demonstration rundet den einstündigen Vortrag dann ab.
Secure Scripting SIG Security Köln Dienstag, 16. Oktober 2012
Wo hin nur mit den Passwörtern in Oracle Scripten?
Passwörter "verstecken"
Datenbank Skripte vor Manipulationen schützen
Was ist neu im neusten Major Release von WeOS 4? Das neue WeOS 4.29 ist da und bringt einige Neuheiten mit sich mit. Zu dem ist auch eine neue Version WeConfig 1.13.1 erschienen, die ebenfalls einige Neuheiten im Gepäck hat. Lassen Sie sich die Neuheiten von unserem Cyber Security Experten Erwin Lasinger zeigen und nutzen Sie die neuen Versionen mit ihren tollen neuen Funktionen.
SNMP Applied - Sicheres Monitoring mit SNMPGerrit Beine
Der Vortrag gibt Unix-Nutzern einen Einblick, wie man Net-SNMP zum Monitoring und Steuern beliebiger Anwendungen nutzen kann.
Der Schwerpunkt liegt dabei auf dem Thema der Absicherung des SNMP-Dienstes mit Hilfe von SSL/TLS und Authentifizierung.
Als Beispiele dienen hierzu SNMP4J und Net-SNMP.
Dieser Vortrag erklärt, was der PHP_CodeSniffer ist, was er kann, wozu er gut ist, wie man einen eigenen Standard mit eigenen Regeln erstellt und warum man Ihn nutzen sollte.
Er wurde am 22. September 2010 bei der PHP Usergroup Düsseldorf, Duisburg, Krefeld gehalten.
Transport network strategies at Telekom Austria Group- January 2014Wi-Fi 360
We would like to invite you to an exclusive webinar entitled 'Towards a Converged Network: Transport Network Strategies at Telekom Austria. This will present key new research findings from Maravedis-Rethink, and will feature our guest speaker, Alexander Schneider. Mr Schneider is head of transport network development at Telekom Austria Group, a frontrunner in European operators' move towards fixed/mobile convergence and all-IP networks.
Mr Schneider will discuss key elements of Telekom Austria's strategy for deploying a twenty-first century network which harnesses some of the most important new technologies in fixed and mobile telecoms. These include small cells, software defined networking and the migration to all-IP infrastructure. In particular, the presentation will focus on the strategies and challenges in backhaul and IP migration.
The webinar will offer a unique opportunity to gain details and insights into issues which are now facing many operators, and their suppliers, round the world, in the face of mounting data demands.
Mr Schneider's presentation will be complemented by highlights from Maravedis-Rethink's most recent research into the 4G RAN and backhaul deployment plans of the world's leading mobile providers. Maravedis-Rethink tracks the top 100 4G operators and their business strategies, and has a per-carrier analysis of small cell and Cloud-RAN deployment plans, among other topics. Research Director Caroline Gabriel will share exclusive data in areas including small cell backhaul and SON (self-optimizing networks).
PHP Optimization can increase a client’s site performance and leverage your plugin design and capacity. Writing your code with PHP in mind first will help you build stable scalable plugins and applications. It will also save you time and energy after product release. Practical tips will be shared in this session for you to implement in projects immediately. Yes, there will be code.
Websites, die stark frequentiert werden, sollten in jedem Augenblick optimale Ladezeiten für den Besucher aufweisen. Kommt PHP als objektorientierte Interpreter- Sprache zum Einsatz, muss besonderes Know How mitgebracht werden. Dieser Artikel gibt einen
Überblick über die Performance-Maßnahmen, -Methoden, -Produkten und -Werkzeugen in der PHP- rogrammierung.
30 minütige AJAX Präsentation.
Begonnen bei DOM, JavaScript und HTTP werden hier die Basics behandelt.
Vermittelt gegen Ende viele technische Probleme, die mit AJAX kommen.
Dadurch wird auf Folgepräsentationen vorbereitet, die behandeln wie die verschiedenen Web-Frameworks AJAX in den Griff bekommen.
Eclipse PHP Tool Integration (IPC Spring 2010)Sven Kiera
Es stehen immer neue und mächtigere Tools zur Unterstützung der Entwicklung von PHP-Projekten zur Verfügung. Doch leider fehlt hier oft eine Integration in einer der bekannten IDEs. PHP Tool Integration (PTI) versucht als Erweiterung für Eclipse diese Lücke zu schließen. Der Vortrag zeigt Ihnen, wie Sie mittels dieser Erweiterung unter anderem PHP_CodeSniffer, PHP_Depend und PHPUnit direkt in Eclipse nutzen können.
Webanwendungen - Installation, Konfiguration und AdministrationThomas Siegers
Web-Anwendungen sind Programme, die auf einem Server im Internet laufen und über einen Web-Browser bedient werden. Dazu gehören Blogs, Foren, Foto-Gallerien und Redaktionssysteme (CMS).
OSMC 2016 - Hello Redfish, Goodbye IPMI - The future of Hardware MonitoringNETWAYS
Thomas Niedermeier, Abteilung Communications / Knowledge Transfer bei Thomas-Krenn, absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich hier vor allem um das Thomas-Krenn-Wiki, Synology NAS Geräte und um die Weiterentwicklung von TKmon.
Transport network strategies at Telekom Austria Group- January 2014Wi-Fi 360
We would like to invite you to an exclusive webinar entitled 'Towards a Converged Network: Transport Network Strategies at Telekom Austria. This will present key new research findings from Maravedis-Rethink, and will feature our guest speaker, Alexander Schneider. Mr Schneider is head of transport network development at Telekom Austria Group, a frontrunner in European operators' move towards fixed/mobile convergence and all-IP networks.
Mr Schneider will discuss key elements of Telekom Austria's strategy for deploying a twenty-first century network which harnesses some of the most important new technologies in fixed and mobile telecoms. These include small cells, software defined networking and the migration to all-IP infrastructure. In particular, the presentation will focus on the strategies and challenges in backhaul and IP migration.
The webinar will offer a unique opportunity to gain details and insights into issues which are now facing many operators, and their suppliers, round the world, in the face of mounting data demands.
Mr Schneider's presentation will be complemented by highlights from Maravedis-Rethink's most recent research into the 4G RAN and backhaul deployment plans of the world's leading mobile providers. Maravedis-Rethink tracks the top 100 4G operators and their business strategies, and has a per-carrier analysis of small cell and Cloud-RAN deployment plans, among other topics. Research Director Caroline Gabriel will share exclusive data in areas including small cell backhaul and SON (self-optimizing networks).
PHP Optimization can increase a client’s site performance and leverage your plugin design and capacity. Writing your code with PHP in mind first will help you build stable scalable plugins and applications. It will also save you time and energy after product release. Practical tips will be shared in this session for you to implement in projects immediately. Yes, there will be code.
Websites, die stark frequentiert werden, sollten in jedem Augenblick optimale Ladezeiten für den Besucher aufweisen. Kommt PHP als objektorientierte Interpreter- Sprache zum Einsatz, muss besonderes Know How mitgebracht werden. Dieser Artikel gibt einen
Überblick über die Performance-Maßnahmen, -Methoden, -Produkten und -Werkzeugen in der PHP- rogrammierung.
30 minütige AJAX Präsentation.
Begonnen bei DOM, JavaScript und HTTP werden hier die Basics behandelt.
Vermittelt gegen Ende viele technische Probleme, die mit AJAX kommen.
Dadurch wird auf Folgepräsentationen vorbereitet, die behandeln wie die verschiedenen Web-Frameworks AJAX in den Griff bekommen.
Eclipse PHP Tool Integration (IPC Spring 2010)Sven Kiera
Es stehen immer neue und mächtigere Tools zur Unterstützung der Entwicklung von PHP-Projekten zur Verfügung. Doch leider fehlt hier oft eine Integration in einer der bekannten IDEs. PHP Tool Integration (PTI) versucht als Erweiterung für Eclipse diese Lücke zu schließen. Der Vortrag zeigt Ihnen, wie Sie mittels dieser Erweiterung unter anderem PHP_CodeSniffer, PHP_Depend und PHPUnit direkt in Eclipse nutzen können.
Webanwendungen - Installation, Konfiguration und AdministrationThomas Siegers
Web-Anwendungen sind Programme, die auf einem Server im Internet laufen und über einen Web-Browser bedient werden. Dazu gehören Blogs, Foren, Foto-Gallerien und Redaktionssysteme (CMS).
OSMC 2016 - Hello Redfish, Goodbye IPMI - The future of Hardware MonitoringNETWAYS
Thomas Niedermeier, Abteilung Communications / Knowledge Transfer bei Thomas-Krenn, absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich hier vor allem um das Thomas-Krenn-Wiki, Synology NAS Geräte und um die Weiterentwicklung von TKmon.
OSMC 2016 | Hello Redfish, goodbye IPMI - Die Zukunft des Hardware-MonitoringsNETWAYS
Wir schreiben das Jahr 2016 und der PC-Markt schrumpft weiter. Immer mehr Menschen verwenden mobile Geräte und speichern die meisten ihrer Daten in der Cloud. Dies sind gute Entwicklungen für Server-Hersteller und Datacenter Admins, denn Marktforscher erwarten (damit verbunden) ein dreiprozentiges Wachstum für Investments in Data Center Systeme. Um mit dem Managementaufwand all dieser Cloud Systeme Schritt halten zu können, haben sich IT Profis auf der ganzen Welt zu der DevOps Bewegung zusammengeschlossen und die die Software-Seite der Serverautomation mit Tools wie Puppet, Ansible, Chef oder Salt erheblich vereinfacht. Das ist der Software-Teil... aber was ist mit der Hardware? Hmm..., IPMI (das sogenannte Intelligent Platform Management Interface) ist seit 1998 der Standard für das Out-of-Band Management der Server-Systeme. Es verwendet den UDP Port 623, das Dokument der Spezifikation umfasst mehr als 600 Seiten, es benötigt tiefergehendes Spezialwissen und enthält einige schwerwiegende Sicherheitsrisiken. Um diesen Einschränkungen entgegenzuwirken und das Hardware-System-Management in moderne Zeiten zu katapultieren, wurde von der DMTF (Distributed Management Task Force) der Redfish Management Standard entwickelt und veröffentlicht. Redfish verwendet ein RESTful Interface, funktioniert über HTTPS und stellt alle Daten mittels des JSON Formats unter Zuhilfenahme des ODATA Schemas dar.
Thomas beschreibt in diesem Vortrag die Ziele von Redfish und zeigt auf wie das Monitoring mit Redfish gelingt. Besuchen Sie diesen Vortrag und starten Sie anschließend mit der modernen Art Server-Hardware zu überwachen.
OSDC 2013 | Enterprise open source virtualization with oVirt and RHEV by René...NETWAYS
Nowadays,virtualization is the foundation of many IT environments in medium and large enterprises. The KVM based Red Hat Enterprise virtualization and its upstream project oVirt, is a high performance and at the same time cost-saving open source solution combined with enterprise management features.
This presentation will introduce these virtualization solutions. With use-cases and field reports from the finance and industrial environment regarding KVM based desktop and server virtualization, we will outline the technical opportunities, applications scenarios and potential challenges.
Mit CryptionPro HDD® erhalten Sie einen umfassenden Schutz für Ihre mobilen Rechner. Nicht autorisierter Zugriff auf das Notebook und somit auf die gespeicherten Daten oder gar der Zugang zum Firmennetzwerk über das Notebook werden verhindert. Gelangt das Notebook in unerwünschte Hände, sind die Daten selbst bei einem Ausbau der Festplatte geschützt. CryptionPro HDD® stellt über einen erweiterten Zugangsschutz (Pre-Boot Authentisierung) und Festplattenverschlüsselung (soft- und hardware-basiert) den perfekten Schutz für alle mobil gespeicherten Daten sicher.
Wer sind die Angreifer im Netz, was sind Ihre Ziele und gegen welche Arten von Attacken muss ich mich wappnen?
Es gilt immensen Schaden abzuwenden und das Vertrauen der Nutzer in Ihre Plattform zu gewinnen und zu bewahren.
Slides zu meinem Talk beim Entwicklertag 2015 in Karlsruhe.
# Zusammenfassung
Sicherheit von Web-Anwendungen ist ein heißes Thema. Obwohl seit Jahren aktuell, werden die Meldungen über erneute Lücken gefühlt eher schlimmer als besser. Der Trend zu Single-Page-Anwendungen bringt für uns Entwickler eine ganze Reihe neuer Herausforderungen in punkto Sicherheit mit sich, da immer mehr Funktionalität in den Browser verlagert wird und dadurch mehr Code in nicht vertrauenswürdiger Umgebung läuft.
In diesem Talk wir anhand von AngularJS gezeigt auf was man bei SPAs achten muss. Anhand von Code-Beispielen wird natürlich auch gezeigt wie man sich z.B. vor Cross-Site-Scripting, Cross-Site-Request-Forgery und Code-Injection schützt und welche Gefahren sonst noch so lauern.
# Kurz-Bio
Philipp Burgmer studierte an der Hochschule Karlsruhe Informatik und arbeitet als Entwickler, Berater und [Trainer](http://thecodecampus.de) für die [w11k GmbH](http://w11k.de). Er ist Experte für Webtechnologien und beschäftigt sich mit der Gestaltung und Optimierung von Benutzeroberflächen. Privat interessiert er sich für Klettern und DJing.
ANEO RedHat Ansible und mehr.
Als Red Hat Premier Business Partner fokussieren wir uns auf
Automatisierung mit Ansible
Deployments mit Red Hat Satellite Server und Smart Management
Virtualisierung mit Red Hat Virtualization
Benutzer Management mit Red Hat IPA Server
Wir sind spezialisiert auf
Infrastruktur: Server | Storage | Backup
Software Integration und Entwicklung
Wir integrieren A mit B | Container
Hybrid Cloud Lösungen
ESET Remote Administrator ist die beste Wahl.
Mit der Software verwalten Sie sämtliche Business-Produkte - darunter Endpoints inklusive Security, Mail Security, File Security, Gateway Security, und Mobile Security. Für gängige Betriebssysteme wie Windows, Mac OSX, Linus, Symbian, Windows Mobile und Android liefert ESET die beste Lösung für ihr Unternehmen.
Mit dem Administrator haben Sie die Möglichkeit einen http(s)-Mirror bereitzustellen. Die Software verfügt über einen Reportgenerator, ein Web Dashboard und einen Policy-, Gruppen- & Notification-Manager. Darüber hinaus gibt es die Möglichkeit der Quarantäneverwaltung und dem Roll-Out von Installationspaketen.
Über folgende Systemanforderungen sollte Ihre IT-Architektur verfügen. Auf dem Server empfiehlt es sich, mindestens Windows Server 2000 oder höher installiert zu haben um folgende TCP Ports verwalten können:
• 2221 Updates über HTTP
• 2222 Endpoints et ERA Server
• 2223 ERA Console et ERA Server
• 2224 PUSH Installation
• 2225 Web Server
• 2846 Replikation
Windows 2000 und höher oder Windows Server 2000 und höher sind die Systeme die auf der Console in Betrieb sein sollten.
Die Software unterstützt die Datenbanken Microsoft ® SQL Server und MySQL® von Oracle.
Die Update-Verteilung mittels Remote Administrator geschieht wie folgt: Es ist möglich vom Update-Server für die Endpoints Updates zu beziehen oder mit dazwischen geschaltetem Mirror-Server.
Remote Installation
Es gibt verschiedene Möglichkeiten der Clientsuche und des Roll-Outs. Die Suche kann über Active Directory, Windows Networking, die Shell (Netzwerknachbarschaft), IP-Adresssuche (Range oder Mask, IPv4 oder IPv6) oder über eine benutzerdefinierte Computerliste stattfinden. Das Roll-Out erfolgt durch PUSH-Installation, Logon Script, Gruppenrichtlinien, E-Mail oder durch Drittanbieter Softwareverteilung.
Remote Administration
Für ferngesteuerte administrative Aufgaben stehen verschiede Module bereit. Im Gruppen-Manager werden statische und parametrische Gruppen erstellt, oder eine Active Directory-Synchronisierung angestoßen. Der Policy-Manager verschafft einen Überblick über alle Konfigurationen Hierarchischer Strukturen. Im Notification-Manager werden automatische Reports erstellt und Nachrichten können angepasst werden.
Darüber hinaus werden Log-Dateien geschrieben und die Quarantäne-Verwaltung verschafft Überblick über alle in der Quarantäne befindlichen Dateien.
Zudem gibt es eine Benutzerverwaltung, ein übersichtliches Dashboard sowie einen Berichte-Generator.
5. Netzwerkattacken: DDoS
Verteilte Denial of Service Attacken
einige hundert bis mehrere Millionen kompromittierte
Rechner (BotNet)
Schicken udp, icmp, tcp Packete, reflektiertes DNS
typ0-udp-dos
Network
bis zu 25 GB/s (empirisch)
6. Distributed Denial of Service
Wird vorrangig kriminell genutzt
Erpressung (in-ist-drin.de 7/2007, many more)
Politisch (Estland 5/2007, mehr als 1.000.000
Computer im Botnet)
Kriminell (Anti-419, Anti-Dialer-Sites)
War eigentlich mal ein Spass für Scriptkiddies im IRC
Network
7. DDoS Schutz
Sie alleine können sich nicht schützen
Ihr Firewall hilft nicht, wenn ihr Uplink kleiner als 25
GB/s ist.
Ihr Provider kann, „DDos Managed Security Services“
Der Traffic für die angegriffene Seite wird verworfen (/
dev/null) oder zu einem reinigenden Router geschickt
Network
Blackholing ist im Weihnachtsgeschäft suboptimal, eine
Cleaning Router Infrastruktur ist teuer.
8. Schutz für das lokale Netz
Eine Firewall muss sein
Nur was sein muss, alles andere aus:
FTP, SSH, SUN-RPC, DNS, SMTP, IMAP, POP
Ein Service, den sie wirklich brauchen
IP-Filterung, eigenes Management-Netz
Network
besser: ein VPN nutzen
9. Linux absichern
nicht benötigte Dienste deaktivieren
nicht benötigte Software deinstallieren
aktuell bleiben
Kernel härten
Linux
ungebrauchte Module deaktivieren
Kernel-Module global deaktivieren
Mandantory Access Control wie SELinux oder
AppArmor nutzen
10. GRSecurity
Patchset gegen 2.4.x un 2.6.x Kernel
Beinhaltet PaX
ASLR, Page NX
Role Based Linux Control (RBAC)
Access
Chroot hardening, Signal logging, etc.
Hardened Gentoo, Hardened Linux from Scratch
11. SELinux
Security Enhanced Linux
von der NSA entwickelt
technisch sehr sicher
Linux
kompliziertes Rechtesystem
Teil vom Mainline Kernel 2.6,
Redhat, Fedora, OpenSUSE, Debian
12. AppArmor
Wurde als „SubDomain“ von Immunix entwickelt
... die von Novell gekauft wurden
Teil von Novell/SuSE Linux
Open Source, unterstützt auch viele andere
Linux
Distributionen
SELinux für Doofe
Wir benutzen es gerne
13. AppArmor
Einfacher Ansatz für Mandantory Access Control
Filerechte und POSIX capabilities
basiert auf Filenamen
Einfacher Workflow
Linux
die Software wird während der Nutzung profiled
das Profil wird als Sammlung erlaubter Zugriffe
genutzt
14. Warum ich AppArmor mag
Ihr PHP-Script soll in config.inc.php schreiben
By default verbieten es beide
SELinux:
Label für /var/www/html is http_sys_content_t ->
Linux
Schreibzugriffe erlauben für /var/www/html
AppArmor:
/var/www/html/config.inc.php w
15. Harte Indianer
Alle nicht benötigten Module deaktivieren
mod_parmguard
Apache von applikationsspezifischen Filtern für
Setzen
Parameter
mod_security
freier, kleine Web Application Firewall
filtert nach Whitelist mt regulären Ausdrücken
Standardregelsets (gotroot.com)
16. mod_security
von Breach-Security gekauft, heute Dual-Lizensiert
Filter fürs Grobe
Apache
Code Executions, Inclusions, SQL-Injections, XSS
mod_security 2.0
Statefull
Session support
17. MySQL Sicherheit
MySQL in SELinux/AppArmor laufen lassen
Netzwerk deaktivieren: skip-networking
MySQL
Filezugriff deaktivieren: set-variable = local-infile=0
Unnötige Dinge entfernen:
test datenbank
default users, default rights
Nur wirklich benötigte Rechte vergeben
20. Suhosin Engine Patches
Globale Schutzmechanismen für Low-Level-Bugs
PHP
Memory Manager Hardening (Canary/Safe-Unlink)
Hashtable Destructor Protection
Protection gegen Format String Vulnerabilities
Realpath() Härtung
21. Suhosin Extension
Schutz für unbekannten Bugs
PHP
Granular verbotene Methoden nach vhosts
Schutz gegen Remote Inclusion
Transparente Session/Cookie Encryption
Variable und Upload Filtering
22. Suhosin Logging
Viele Ausgabekanäle
PHP script, File
syslog, Shell Script, PHP
Mehrere Loglevel
Log Message mit Datei, Zeile und Angreifer-IP
Simulationsmodus zum testen und tunen
23. Coding Guidelines
E_ALL/E_STRICT safe coding
keine globalen Variablen nutzen
PHP
verbotene Funktionen
definierte Nutzung von Konstanten
Parameter Binding Datenbank-API
Libraries für CSRF Schutz, Eingabevalidation, -filterung,
-escaping, Datenbankzugriffe
24. Input / Output Flow in PHP
Input check:
Validierung in Abhängigkeit von dem erwarteten
Inhalt PHP
Invalider Input entweder sanitizen oder löschen
Output Escaping:
Es gibt 5 Escape-Methoden für HTML, 2 für SQL, 2
für Shellausführung.
Es git keine Default Escaping
25. Parameter Binding in PHP
<?php
$pdo = new PDO(DSN);
PHP
$stm = $pdo->prepare(
‘SELECT * FROM foo LIMIT :id‘);
$stm->bindValue(‘:id‘, 1);
$stm->execute();
Bind Parameters in Bezeichnern und Syntaxelementen
geht nicht.
27. PHP-IDS
Besser als nichts
Irgendwie konnte manPHP
es immer umgehen
Keine Ausrede für mangelhafte Validierung, Filterung
und Escaping
Kann man zum automatische Abmeldung eines
Benutzers verwenden