AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Meine PHP-Seite ist unsicher!

Ein Thema von silentAMD · begonnen am 23. Dez 2004 · letzter Beitrag vom 28. Dez 2004
Antwort Antwort
Seite 1 von 2  1 2      
silentAMD

Registriert seit: 27. Sep 2003
203 Beiträge
 
Turbo Delphi für Win32
 
#1

Meine PHP-Seite ist unsicher!

  Alt 23. Dez 2004, 13:28
hi,

ich habe mich nun nach langem html proggen zu php weitergetraut, und meine seite komplett auf php umgeschrieben. alles geht zwar um einiges einfacher mit php, nur jeder depp kann meine seiten verhunzen, weil ich alle möglichen weitergegebenen variablen direkt anzeigen lasse und jeder kann da mit seinem eigenen php-code alles verhunzen!

wie kann man ALLE variablen die von einem dokument zum anderen weitergegeben werden, so formatieren, dass sie nur den html-code anzeigen (also z.b.

Code:
$mod=get_html_translation_table(HTML_SPECIALCHARS);
if(isset($load)) $load=strtr($load, $mod);
)?

ich hab nämlich keine lust, alle variablen extra so umzuschreiben (1. wegen der größe der index.php und 2. wegen dem aufwand)


PLEASE HELP!!!!


PS: ich weisss schon selbst, warum ich meine homepage nicht angegeben habe...
  Mit Zitat antworten Zitat
Benutzerbild von Mamphil
Mamphil

Registriert seit: 17. Jul 2004
Ort: Garching b. München
149 Beiträge
 
Delphi 7 Professional
 
#2

Re: Meine PHP-Seite ist unsicher!

  Alt 23. Dez 2004, 13:33
Hi!

Was bitte willst du machen? Irgendwie verstehe ich dein Problem nicht richtig. Gib bitte mal ein bisschen mehr Code von deiner Seite bzw. den Link zu der Seite, mit der du das Problem hast.

Mamphil
The laws of physics are the canvas God laid down on which to paint his masterpiece. “Leonardo Vetra” in Dan Brown’s “Angels & Demons”
  Mit Zitat antworten Zitat
silentAMD

Registriert seit: 27. Sep 2003
203 Beiträge
 
Turbo Delphi für Win32
 
#3

Re: Meine PHP-Seite ist unsicher!

  Alt 23. Dez 2004, 13:57
naja hier en bissel code:


<?php
echo "<H2>$loc</H2>\n"; //übergebende variable ist §loc
$filenamen="data/$loc.inc.php";
include($filenamen);
?>

(also stark vereinfacht) aber so in etwa ist es un dan auf der page mit noch mehr eigenschaften für texte usw...


also mein problem: für $loc kann man beliebigen html-code und php-code eintragen und die seite verändern und auf geschützten inhalt zugreifen... das will ich nicht.

wie kann man $loc und alle anderen variablen zu stinknormalem html code machen? also wie ... zu &#133 ihr wisst wahrscheinlich schon was ich meine?


PLEASE HELP
  Mit Zitat antworten Zitat
Benutzerbild von Meflin
Meflin

Registriert seit: 21. Aug 2003
4.856 Beiträge
 
#4

Re: Meine PHP-Seite ist unsicher!

  Alt 23. Dez 2004, 14:15
htmlspecialchars($variable)
  Mit Zitat antworten Zitat
silentAMD

Registriert seit: 27. Sep 2003
203 Beiträge
 
Turbo Delphi für Win32
 
#5

Re: Meine PHP-Seite ist unsicher!

  Alt 23. Dez 2004, 17:09
hi!

thanx für deine einfachere lösung Melfin! (hab sie allerdings noch net ausprobiert... )

gibt es keine lösung, einfach ALLE variablen so zu formatieren??


PLEASE HELP!!
  Mit Zitat antworten Zitat
Benutzerbild von Mamphil
Mamphil

Registriert seit: 17. Jul 2004
Ort: Garching b. München
149 Beiträge
 
Delphi 7 Professional
 
#6

Re: Meine PHP-Seite ist unsicher!

  Alt 23. Dez 2004, 17:50
Hi!

Code:
// Alle $_REQUEST-Variabeln umformatieren:
foreach ($_REQUEST as $name => $value)
  $_REQUEST[$name] = htmlspecialchars($value);
Du musst dann allerdings immer mit $_REQUEST['deinVariablenName'] arbeiten (?)

Mamphil
The laws of physics are the canvas God laid down on which to paint his masterpiece. “Leonardo Vetra” in Dan Brown’s “Angels & Demons”
  Mit Zitat antworten Zitat
silentAMD

Registriert seit: 27. Sep 2003
203 Beiträge
 
Turbo Delphi für Win32
 
#7

Re: Meine PHP-Seite ist unsicher!

  Alt 23. Dez 2004, 18:34
naja...aber ich erspar mir damit fast nix, weil ich ja alle variablen in ein array schreiben muss oder so...aber gefällt mir schon besser als alles einzeln zu formatieren...

THANX!!!!
  Mit Zitat antworten Zitat
Benutzerbild von Mamphil
Mamphil

Registriert seit: 17. Jul 2004
Ort: Garching b. München
149 Beiträge
 
Delphi 7 Professional
 
#8

Re: Meine PHP-Seite ist unsicher!

  Alt 23. Dez 2004, 19:06
Nein, das Array $_REQUEST existiert schon. Es enthält alle Variablen, die per POST (z. B. über Formulare) oder per GET (in der URL) übergeben werden.

Mamphil
The laws of physics are the canvas God laid down on which to paint his masterpiece. “Leonardo Vetra” in Dan Brown’s “Angels & Demons”
  Mit Zitat antworten Zitat
Benutzerbild von sECuRE
sECuRE

Registriert seit: 10. Apr 2003
Ort: Heidelberg
360 Beiträge
 
Delphi 7 Professional
 
#9

Re: Meine PHP-Seite ist unsicher!

  Alt 23. Dez 2004, 19:15
Hi,

dem User den includepath anzuvertrauen halte ich für grob fahrlässig
Wenn der nun index.php?loc=../../../../../etc/passwd aufruft?
Definier lieber ne Tabelle mit allen möglichen sicheren Includepaths und überprüfe die dann, zb so:

Code:
$valid_paths = array("index","news","content","guestbook");
$valid = false;
foreach ($valid_paths as $vp)
 if ($vp == $_GET['loc']) // das erspart dir die (unsichere) Einstellung register_globals = on
  $valid = true;

if (!$valid) // Hier evtl noch um einen Logeintrag ergänzen, falls du von solchen Versuchen was mitbekommen willst
 Die("Dies ist kein gueltiger Pfad!");

include($loc.".php");
cu
  Mit Zitat antworten Zitat
silentAMD

Registriert seit: 27. Sep 2003
203 Beiträge
 
Turbo Delphi für Win32
 
#10

Re: Meine PHP-Seite ist unsicher!

  Alt 23. Dez 2004, 19:24
... oh sorry jetzt weiss ich was du meinst... da kann ja dann jeder benutzer auf mein gästebuch und gesicherte daten zugreifen... das muss ich schnellstens lösen...
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:12 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz