Einzelnen Beitrag anzeigen

Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#5

Re: [PHP] - Sicheres Includen

  Alt 14. Aug 2006, 11:41
Zitat von faux:
OK, daran denke ich schon mal garnichtmehr, ich gehe immer davon aus, dann das aus ist.
Schoen waers, traurige Wahrheit ist, dass es bei den meisten Hostern an ist, und der 0815-PHPler keinen Plan hat was es ist.

Zitat von faux:
Naja, aber die Variable durch $site = preg_replace('/[\\\\\/.:]*/', '', $site); jagen, ist sicherlich kein Fehler.
Noch eine Stufe besser: explizit sagen was erlaubt ist:
Code:
$site = (isset($_GET['site'])) ? $_GET['site'] : '';
$allowed_sites = array('main', 'contact', 'foo', 'bar');
if (!in_array($site, $allowed_sites))
{
  $site = 'main';
}
include('./'. $site .'.php');
Und schon gibts keinen Weg mehr, da RFI zu betreiben. So einfach kanns sein, ich versteh sowieso nicht, wie man eine Seite darauf aufbauen kann, die einzubindende Datei ueber die URL festlegen zu lassen. Nichts fuer ungut, aber echt

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat