Thema: PHP- Sicherheit von php-script / datei anzeige

Einzelnen Beitrag anzeigen

1ceman

Registriert seit: 16. Dez 2005
Ort: Odenthal
134 Beiträge
 
Delphi 6 Personal
 
#1

PHP- Sicherheit von php-script / datei anzeige

  Alt 5. Feb 2007, 19:18
In meiner index.php wird ein bestimmter Ordner ausgelesen und alle dateien und order und unterordner werden ausgelesen und daraus wird ein Menü
ähnlich dem Windows-Explorer menü angezeigt. So die dateien werden als links dargestellt.Ein Link sieht so aus:
[url="anzeige.php?site='. $_REQUEST['site'] . '&type=' . $type . '&verlauf=' . base64_encode($verlauf) . '"]' . $row . '[/url] Die Datei anzeige.php zeigt dann die entsprechenden Dateien an. Das Problem war jetzt, dass man die datein z.B. mit ../index.php aufrufen konnte und einem der Inhalt der index.php datei angezeigt wurde. Jetzt hab ich ne verschlüsselung eingebaut nur ich glaube, dass das noch net reicht. jetzt würd ich gerne prüfen ob in dem link mit dem die anzeigt.php aufgerufen wird ../ enthält.
Jetzt ist nur die Frage wie das geht, habs mit preg_match nicht hinbekommen und ob das überhauot ausreicht oder ob es bessere Möglichkeiten gibt zu verhindern
dass nur dateien aus dem bestimmten ordner angezeigt werden.

Quellcode anzeige.php:
zusammenfalten · markieren
Delphi-Quellcode:
<?php
$Pfad = base64_decode($_REQUEST['verlauf']);
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en" >
<head>
<title>Anzeige</title>
<link rel="stylesheet" type="text/css" href="style.css"/>
</head>
<body>
<div id="untermenue">
   <?php    
   if ($Pfad != 'dateien' && trim($Pfad) != '')
   {         ?>
      <div id="verlauf">   
         <?=$Pfad?>
      </div>   
   <?php     
   }                      
   ?>         
         <div id="inhalt">   
         
   <?php   
   if ($_GET['site'] == 'dateien')
   {
      $type = strtolower($_GET['type']);
      switch ((string)$type) {
         
         case 'jpeg':
         case 'gif' :
         case 'png' :
         case 'jpg' :    echo '[img]dateien/' . $Pfad . '[/img]';
                     break;
         case 'txt' :   $datei = fopen("dateien/" . $Pfad,"r");
                     while (!feof($datei)) {
                        $text = fgets($datei,512);
                        $text = str_replace("\n","
",$text);
                        echo $text . "</br>";
                     }
                     break;
         case 'pdf'   :   echo '<embed src="dateien/' . $Pfad . '" width="751" height="606" />';
                     break;
         case 'zip'   :
         case 'rar'   :    echo '<center>[url="dateien/' . $Pfad . '"]' . $_GET['dateiname'] . '[/url]</center>';   
                     break;
         case 'htm'  : include('dateien/' . $Pfad);
                     break;            
      }
   }   ?>
      </div>   
</div>
</body>
</html>
Roman
  Mit Zitat antworten Zitat