dateiname per php ermitteln
Hi!
Wie kann ich denn herausfinden, wie der Dateiname heißt? Bei $_SERVER['PHP_SELF'] erhalte ich ja den pfad mit... lg Thomas |
AW: dateiname per php ermitteln
PHP-Code:
|
AW: dateiname per php ermitteln
Was sind denn XXS Attacken?
|
AW: dateiname per php ermitteln
|
AW: dateiname per php ermitteln
danke
Aber wie kann man denn das $_SERVER['PHP_SELF'] für cross-site scripting nutzen? thx Thomas |
AW: dateiname per php ermitteln
Das ist mir auch unverständlich :)
Vielleicht werden wir ja noch von rambi augeklärt. |
AW: dateiname per php ermitteln
Da scheinbar euer Google total kaputt ist ;-)
... habe ich mal für euch gesucht: >Ergebnisse 1 - 10 von ungefähr 637 Seiten auf Deutsch für xss PHP_SELF Hier mal, so die schönsten: http://seclists.org/bugtraq/2007/May/0011.html http://wiki.hackerboard.de/index.php...Site_Scripting |
AW: dateiname per php ermitteln
Ah ja, jetzt seh' ich das Problem auch. Nunja letztenendes kann man Benutzer sowieso nicht vor sich selbst schützen. Damit dieser "Trick" funktioniert, muss der angegriffene Benutzer auf einen manipulierten Link klicken. Und auf der Ebene lässt sich sowieso nichts machen. Der Angreifer könnte auch einfach einen Link auf seine eigene Seite setzen (wie es auch oft gemacht wird).
Aber trotzdem kann man es ja umgehen. |
AW: dateiname per php ermitteln
Da in endlos vielen Tutorials, Büchern, Foren usw. PHP_SELF ungeprüft verwendet wird, macht das auch jeder Anfänger erst mal so. Als (mittlerweile) aufgeklärte Personen können wir nur dauernd sagen "tus nicht so!" (ich komme mir schon fast wie ein Papagei vor)
Hilft oft: PHP-Code:
|
AW: dateiname per php ermitteln
Um auf Deine Eingangsfrage einzugehen; Möglicherweise schafft ein gescheit gewählter Regulärer Ausdruck abhilfe. Es muss einfach alles nach dem Dateinamen abgeschnitten werden.
Alternativ: Jede Datei initialisiert als erstes eine Konstante in der der Name drinsteht. Die nachfolgenden Aufrufe anderer Dateien können jene Konstante nicht überschreiben, sodass sie den Dateinamen der ursprünglich aufgerufenen Datei enthält. Eventuell sollte man dem define ein @ voranstellen. |
Alle Zeitangaben in WEZ +2. Es ist jetzt 16:54:23 Uhr. |
Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.