Nachdem ich am Drupal HackCamp 2018 in Bukarest teilgenommen habe, einer auf Sicherheit ausgerichteten Veranstaltung mit internationalen Rednern, habe ich wertvolle Einblicke in die Web-Sicherheit gewonnen, die ich gerne teilen möchte. Die Konferenz hat verdeutlicht, dass Sicherheit nicht nur ein Backend-Anliegen ist - sie erfordert die Wachsamkeit aller Entwickler über den gesamten Technologie-Stack hinweg.

Verhinderung von SQL-Injection

Eine der kritischsten Sicherheitslücken in Webanwendungen ist die SQL-Injection. Betrachten Sie diese anfällige Abfrage:

// UNSICHER: Direkte Variableninterpolation in SQL-Abfrage
$result = db_query("SELECT n.title FROM {node} n WHERE n.type = '$type'");

Dieser Code ist anfällig für SQL-Injection-Angriffe. Ein bösartiger Benutzer könnte eine UNION-Abfrage wie folgt einschleusen:

story' UNION SELECT s.sid, s.sid FROM {sessions} s WHERE s.uid = 1 --

Diese Injection könnte sensible Daten, einschließlich administrativer Sitzungsinformationen, preisgeben. So schreiben Sie stattdessen sichere Abfragen:

// SICHER: Verwendung von parametrisierten Abfragen mit korrektem Escaping
$result = db_query("SELECT n.nid FROM {node} n WHERE n.nid > :nid", 
 array(':nid' => $nid)
);
// Alternative mit der Database API
$query = db_select('node', 'n')
 ->fields('n', array('nid'))
 ->condition('n.nid', $nid, '>')
 ->execute();

Ausgabebereinigung

JavaScript Sicherheit
Um XSS-Angriffe in JavaScript zu verhindern, sollten Sie Daten immer bereinigen, bevor Sie sie in das DOM einfügen:

// SICHER: Text vor DOM-Einfügung bereinigen
var safeText = Drupal.checkPlain(userProvidedText);
element.innerHTML = safeText;

Übersetzungssicherheit
Das Übersetzungssystem von Drupal bietet mehrere Platzhaltertypen für verschiedene Sicherheitskontexte:

// Verschiedene Platzhaltertypen für verschiedene Sicherheitsbedürfnisse
$text = t('Willkommen @user auf %site_name. Besuchen Sie :link', array(
 '@user' => $username,        // Einfacher Textersatz
 '%site_name' => $siteName,   // Text in <em> Tags eingefasst
 ':link' => $url,             // URL für href Attribute
));

String-Bereinigungsmethoden
Drupal bietet mehrere Methoden zur Sicherung der Ausgabe:

// HTML-Sonderzeichen escapen
$safeText = Html::escape($userInput);
// Formatierung von Strings mit Platzhaltern auf sichere Weise
use Drupal\Component\Render\FormattableMarkup;
$safeMarkup = new FormattableMarkup($pattern, $arguments);
// Filtern von HTML zur Verhinderung von XSS
$safeHtml = Xss::filter($userGeneratedHtml);

Sicherheitsbest Practices

1. Regelmäßige Updates
  - Abonnieren Sie Sicherheitsankündigungen per E-Mail/RSS/Twitter
  - Halten Sie Drupal Core und beigetragene Module aktuell
  - Implementieren Sie automatisierte Update-Benachrichtigungen

2. Sicherheit der Entwicklungsumgebung

  // Überprüfen, ob wir uns in einer Produktionsumgebung befinden
  if (getenv('ENVIRONMENT') === 'production') {
    // Deaktivieren von Entwicklungsmodulen
    module_disable(array('devel', 'simpletest'));
    // Entfernen von Composer-Entwicklungsabhängigkeiten
    shell_exec('composer install --no-dev');
  }

3. Sicherheit von Testmodulen

  // Testmodule nur in der Entwicklung aktivieren
  if (!drupal_is_cli() && !in_array('testing', variable_get('enabled_modules', array()))) {
    module_disable(array('simpletest'));
  }

Die Konferenz hat verdeutlicht, dass Sicherheit eine gemeinsame Verantwortung ist, die ständige Wachsamkeit und aktualisiertes Wissen erfordert. Durch die konsequente Umsetzung dieser Praktiken können wir sicherere Drupal-Anwendungen erstellen, die unsere Benutzer und deren Daten besser schützen.

Denken Sie daran: Sicherheit ist kein einmaliges Unterfangen, sondern ein fortlaufender Prozess, der regelmäßige Audits, Updates und Verbesserungen erfordert, um sich vor aufkommenden Bedrohungen zu schützen.