Aktuelles
SELFPHP
shopware Partner
SELFPHP Dokumentation
Premium-Partner
Anbieterverzeichnis
CronJob-Service
Services
Produktempfehlung
Internet Security
- sponsored by
CronJob-Service bei SELFPHP mit ... |
|
:: Anbieterverzeichnis ::
Globale Branchen
Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP 
:: Newsletter ::
Abonnieren Sie hier den kostenlosen
SELFPHP Newsletter!
|
|||||||
| PHP für Fortgeschrittene und Experten Fortgeschrittene und Experten können hier über ihre Probleme und Bedenken talken |
 |
|
|
Themen-Optionen | Ansicht |
|
|
|
#1
30.11.2005, 17:38:44
|
|||
|
|||
|
include Befehl absichern
Hallo,
ich habe ein Problem. Auf meiner Seite sollen an einer Stelle per include die Seiten eingefügt werden. Das Problem dabei ist, das das per link geschehen muss. also index.php?mod=ersteseite.html oder sowas. Jetzt könnte ja jemand an die Stelle einfach eine Datei auf einem anderen Server nehmen und das skript würde diese auslesen und ausführen, oder nicht? Wie kann ich verhindern, dass er aus meinem Server hinausgeht, also externe Links annimmt. Indem ich den String untersuchen lasse nach nummern, oder nach www oder ähnlichen dingen? mfg Schwierle 
|
|
|
|
#2
30.11.2005, 17:46:46
|
|||
|
|||
|
AW: include Befehl absichern
__________________
Verhaltensregeln für das SelfPHP-Forum bitte beachten! Geändert von feuervogel (30.11.2005 um 17:48:19 Uhr)
|
|
#3
30.11.2005, 19:12:37
|
|||
|
|||
|
AW: include Befehl absichern
Hi, danke für die schnelle Antwort. Leider ist es nicht möglich einfach Pfade herauszulassen, da pfade auch in der form ./test.php oder sonstirgendwas vorkommen können. Ich habe daraufhin aber eine Idee gehabt, indem ich einen kompletten pfad zusammenbastel und dann prüfe, ob die Datei existiert.
//include befehl entschärfen $include_data=$_GET['mod']; //eigenen Arbeitspfad ermitteln $path=getcwd(); //die zu includenen string auf . prüfen: wenn ja muss dieser entfernt werden und durch / ersetzt werden um einen voll gültigen pfad zu bekommen if (substr($include_data,0,1)==".") { $vollerpfad=$path.substr($include_data,1); } else { $vollerpfad=$path."/".$include_data; } //es wird geprüft ob es sich um eine datei handelt, die auf dem Server liegt wenn ja darf sie ausgeführt werden if (is_file($vollerpfad)) { print "Datei vorhanden"; include($include_data); } else { print "Datei NICHT vorhanden"; include("anfangsdatei.html"); } Ist das so möglich? Kann man über include sonst noch schädlichen code einschleusen oder ist dies nicht möglich? mfg Schwierle
|
|
#4
30.11.2005, 19:22:27
|
||||
|
||||
|
AW: include Befehl absichern
Da fehlt noch ein basename(), damit es sicher wird.
PHP-Code:
|
|
#5
30.11.2005, 20:03:40
|
||||
|
||||
|
AW: include Befehl absichern
Also, der wohl einfachste Weg mit guter Sicherheit ist dieser:
PHP-Code:
__________________
Gruß |Coding --- Qozido® - Die Bilderverwaltung mit Logbuch für Taucher und Schnorchler. www.qozido.de
|
|
| Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1) | |
Linear-Darstellung
|
|
Ähnliche Themen
|
||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Include befehl geht nicht ... | BuLLeT | PHP Grundlagen | 6 | 30.06.2005 10:09:40 |
| Anfängerfrage zwecks include befehl | orGa | PHP Grundlagen | 2 | 25.05.2004 11:29:44 |
| Weiterleitung in if-Schleife | Chilla | PHP für Fortgeschrittene und Experten | 15 | 05.05.2004 19:19:44 |
| include befehl | kulimuh | PHP Grundlagen | 3 | 06.09.2003 17:07:55 |
| Include Befehl in For Schleife, geht das??? | Wauzy | PHP für Fortgeschrittene und Experten | 4 | 13.03.2003 23:10:38 |
Alle Zeitangaben in WEZ +2. Es ist jetzt 10:15:18 Uhr.
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt