switch der 2 case_Fälle auf einmal darstellt

[xabbuh]

Zitat:

Zitat von juergen

Das langt doch oder? Die Seit ist nun schneller! Kann das sein?

Nur was machst du, wenn die Datei nicht existiert (die Bedingung also nicht erfüllt ist)?

Außerdem solltest du bedenken, dass es dem Benutzer so möglich ist, praktisch jede beliebige php-Datei auf deinem Webspace auszuführen.

[feuervogel]

in der tat müssten da noch ein paar sicherheitsabfragen rein!

das mit dem english.php hat sich auf:

else
{
include("../languages/english.php");
}

bezogen.

[volti]

@xabbuh
die Möglichkeit des Ausführens jeden beliebigen php-scriptes durch den Benutzer hängt doch in erster Linie durch die Abfrage der Sprache ->$sprache beim Benutzer ab. Wenn z.B. durch <select> in einer DropDownbox Sprachen zur Auswahl vorgegeben sind, kann doch eigentlich nix passieren?!
Auch muss man erst mal darauf kommen, anstelle einer Sprache einen möglichen vorhandenen php-Dateinamen einzugeben. Den code kennt doch der Benutzer nicht. Theoretisch möglich, ok. Aber gibt es denn wirklich so viele fitte böse Buben?

[xabbuh]

Zitat:

Zitat von volti

Wenn z.B. durch <select> in einer DropDownbox Sprachen zur Auswahl vorgegeben sind, kann doch eigentlich nix passieren?!

Wer garantiert dir denn, dass zum Aufruf der Seite wirklich nur das Formular benutzt wurde, welches du selbst zur Verfügung stellst?

Zitat:

Zitat von volti

Aber gibt es denn wirklich so viele fitte böse Buben?

Schau dir alleine mal die Liste der Sicherheitslücken der phpBB-Foren an und wie oft diese ausgenutzt werden, um mal ein Beispiel zu nennen. Klar ist das Risiko dort größer, da hier jeder die Quellcodes einsehen kann und die Software auch sehr stark verbreitet ist, so dass der Anreiz wesentlich größer ist, aber trotzdem ist jede potentielle Sicherheitslücke eine Lücke zuviel.

[volti]

Ok, überzeugt!
Dann eben bzgl. dieses Falles alle gewünschten Sprachen z.B. über Array oder über strstr... in einem Vorgabestring abchecken und alles andere blocken.

[feuervogel]

es gibt da so einige, die damit sogar ihr geld verdienen. über einen von diesen war ein artikel, ich glaube im spiegel.de, der in einem halbwegs bekannten, aber leider nicht genannten, onlineshop einen rechner von 533 € auf 5,33 € "runtergeklickt" hat. nur durch pures klicken, ausprobieren, tippen, in ein paar minuten.

also wenn dich jemand nicht mag, solltest du verdammt vorsichtig sein!

[feuervogel]

Zitat:

Zitat von volti

Ok, überzeugt!
Dann eben bzgl. dieses Falles alle gewünschten Sprachen z.B. über Array oder über strstr... in einem Vorgabestring abchecken und alles andere blocken.

du kannst auch einfach matchen, ob ein / in $sprache vorkommt. denn wenn, dann versucht jemand anscheinend auf ein höheres/niedrigeres verzeichniss zuzugreifen, und ein / sollte in dem namen keiner sprache auf dieser welt vorkommen.

[xabbuh]

Zitat:

Zitat von feuervogel

es gibt da so einige, die damit sogar ihr geld verdienen. über einen von diesen war ein artikel, ich glaube im spiegel.de, der in einem halbwegs bekannten, aber leider nicht genannten, onlineshop einen rechner von 533 € auf 5,33 € "runtergeklickt" hat.

Vermutlich handelt es sich dabei um diesen Bug bei Dell.

Hast du zufällig einen Link zu dem Artikel bei spiegel.de zur Hand?

[feuervogel]

hm, ich weiß nicht mal mehr obs bei spiegel.de war, kann aber nachher mal meine news-seiten durchsuchen...

[juergen]

Hallo Forum,

Ihr macht Euch gedanken die ich mich noch nie gemacht habe. Und dabei handelt es sich doch um meine Seite!
Um so mehr danke ich Euch. Jetzt habe ich aber noch eine Frage!
Was bedeutet die erste Zeile des Skripts?

PHP-Code:

$sprache = ($sprache == '') ? "deutsch" : $sprache;
//Was bedeutet die obere Zeile im Einzelnen besonders das Fragezeichen?
//Wenn ich die Zeile auskommentiere geht alles nach wie vor!
//Wofür brauche ich diese Zeile?

if (is_file( "../languages/" . $sprache . ".php")) {
include( "../languages/" . $sprache . ".php");
}else{
include("../languages/deutsch.php");
} 


http://localhost/kenya/start/index.php?sprache=deutsch
Ich habe es probiert. Wenn ich einen beliebigen Wert für in dem Fall deutsch eingebe z.B. xxxxxxx passiert nichts die Deutsche Sprache wird nach wie vor geladen wenn ich auf meiner Seite die Spanische Sprache auswähle und den Wert auf z.B. yyyyyyyy ändere wird beim neu laden die Deutsche Sprache wieder angezeigt. Das sagt mir das man eingeben kann was mann will wenn es diese Sprache nicht gibt wird die Deutsche geladen und somit ist das Skript sicher genug!!

Aber was bedeutet diese oberste Zeile?

PHP-Code:

$sprache = ($sprache == '') ? "deutsch" : $sprache; 


Besten Dank für Eure Hilfe und den Tips... Gruß Jürgen