AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein PHP- Sicherheit von php-script / datei anzeige
Thema durchsuchen
Ansicht
Themen-Optionen

PHP- Sicherheit von php-script / datei anzeige

Ein Thema von 1ceman · begonnen am 5. Feb 2007 · letzter Beitrag vom 9. Feb 2007
Antwort Antwort
1ceman

Registriert seit: 16. Dez 2005
Ort: Odenthal
134 Beiträge
 
Delphi 6 Personal
 
#1

PHP- Sicherheit von php-script / datei anzeige

  Alt 5. Feb 2007, 19:18
In meiner index.php wird ein bestimmter Ordner ausgelesen und alle dateien und order und unterordner werden ausgelesen und daraus wird ein Menü
ähnlich dem Windows-Explorer menü angezeigt. So die dateien werden als links dargestellt.Ein Link sieht so aus:
[url="anzeige.php?site='. $_REQUEST['site'] . '&type=' . $type . '&verlauf=' . base64_encode($verlauf) . '"]' . $row . '[/url] Die Datei anzeige.php zeigt dann die entsprechenden Dateien an. Das Problem war jetzt, dass man die datein z.B. mit ../index.php aufrufen konnte und einem der Inhalt der index.php datei angezeigt wurde. Jetzt hab ich ne verschlüsselung eingebaut nur ich glaube, dass das noch net reicht. jetzt würd ich gerne prüfen ob in dem link mit dem die anzeigt.php aufgerufen wird ../ enthält.
Jetzt ist nur die Frage wie das geht, habs mit preg_match nicht hinbekommen und ob das überhauot ausreicht oder ob es bessere Möglichkeiten gibt zu verhindern
dass nur dateien aus dem bestimmten ordner angezeigt werden.

Quellcode anzeige.php:
zusammenfalten · markieren
Delphi-Quellcode:
<?php
$Pfad = base64_decode($_REQUEST['verlauf']);
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en" >
<head>
<title>Anzeige</title>
<link rel="stylesheet" type="text/css" href="style.css"/>
</head>
<body>
<div id="untermenue">
   <?php    
   if ($Pfad != 'dateien' && trim($Pfad) != '')
   {         ?>
      <div id="verlauf">   
         <?=$Pfad?>
      </div>   
   <?php     
   }                      
   ?>         
         <div id="inhalt">   
         
   <?php   
   if ($_GET['site'] == 'dateien')
   {
      $type = strtolower($_GET['type']);
      switch ((string)$type) {
         
         case 'jpeg':
         case 'gif' :
         case 'png' :
         case 'jpg' :    echo '[img]dateien/' . $Pfad . '[/img]';
                     break;
         case 'txt' :   $datei = fopen("dateien/" . $Pfad,"r");
                     while (!feof($datei)) {
                        $text = fgets($datei,512);
                        $text = str_replace("\n","
",$text);
                        echo $text . "</br>";
                     }
                     break;
         case 'pdf'   :   echo '<embed src="dateien/' . $Pfad . '" width="751" height="606" />';
                     break;
         case 'zip'   :
         case 'rar'   :    echo '<center>[url="dateien/' . $Pfad . '"]' . $_GET['dateiname'] . '[/url]</center>';   
                     break;
         case 'htm'  : include('dateien/' . $Pfad);
                     break;            
      }
   }   ?>
      </div>   
</div>
</body>
</html>
Roman
  Mit Zitat antworten Zitat
Benutzerbild von S2B
S2B

Registriert seit: 1. Feb 2004
Ort: Aachen
1.268 Beiträge
 
#2

Re: PHP- Sicherheit von php-script / datei anzeige

  Alt 5. Feb 2007, 22:36
Vielleicht bringt dich basename() weiter. Ach ja: Sowas
markieren
Code:
echo $_REQUEST['site'];
würde ich immer so machen:
markieren
Code:
echo htmlspecialchars($_REQUEST['site']);
Simon Praetorius
Gruß
S2B
  Mit Zitat antworten Zitat
1ceman

Registriert seit: 16. Dez 2005
Ort: Odenthal
134 Beiträge
 
Delphi 6 Personal
 
#3

Re: PHP- Sicherheit von php-script / datei anzeige

  Alt 9. Feb 2007, 11:22
Danke für den Tipp.
basname() bringt mich leider nicht weiter.
Ich überprüfe einfach ob der pfad ../ enthält.
Roman
  Mit Zitat antworten Zitat
Benutzerbild von arbu man
arbu man

Registriert seit: 3. Nov 2004
Ort: Krefeld
1.108 Beiträge
 
Delphi 7 Professional
 
#4

Re: PHP- Sicherheit von php-script / datei anzeige

  Alt 9. Feb 2007, 12:55
markieren
Code:
if (str_replace("..", "", $pfad) != $pfad) {
 die("Kein Platz für Hacker");
}
Auch $_GET['dateiname'] ist ein Sicherheitsrisiko da man hier durch Links html-Code einschleusen kann, um so PWs aus Cookies auszulesen.
Björn
>> http://bsnx.net <<
Virtual DP Stammtisch v1.0"iw" am 19.09.2007 - ich war dabei!
  Mit Zitat antworten Zitat
Antwort Antwort

« Vorheriges Thema | Nächstes Thema »

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus
Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:03 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz