AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein PHP- Sicherheit von php-script / datei anzeige
Thema durchsuchen
Ansicht
Themen-Optionen

PHP- Sicherheit von php-script / datei anzeige

Ein Thema von 1ceman · begonnen am 5. Feb 2007 · letzter Beitrag vom 9. Feb 2007
 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
1ceman

Registriert seit: 16. Dez 2005
Ort: Odenthal
134 Beiträge
 
Delphi 6 Personal
 
#1

PHP- Sicherheit von php-script / datei anzeige

  Alt 5. Feb 2007, 18:18
In meiner index.php wird ein bestimmter Ordner ausgelesen und alle dateien und order und unterordner werden ausgelesen und daraus wird ein Menü
ähnlich dem Windows-Explorer menü angezeigt. So die dateien werden als links dargestellt.Ein Link sieht so aus:
[url="anzeige.php?site='. $_REQUEST['site'] . '&type=' . $type . '&verlauf=' . base64_encode($verlauf) . '"]' . $row . '[/url] Die Datei anzeige.php zeigt dann die entsprechenden Dateien an. Das Problem war jetzt, dass man die datein z.B. mit ../index.php aufrufen konnte und einem der Inhalt der index.php datei angezeigt wurde. Jetzt hab ich ne verschlüsselung eingebaut nur ich glaube, dass das noch net reicht. jetzt würd ich gerne prüfen ob in dem link mit dem die anzeigt.php aufgerufen wird ../ enthält.
Jetzt ist nur die Frage wie das geht, habs mit preg_match nicht hinbekommen und ob das überhauot ausreicht oder ob es bessere Möglichkeiten gibt zu verhindern
dass nur dateien aus dem bestimmten ordner angezeigt werden.

Quellcode anzeige.php:
zusammenfalten · markieren
Delphi-Quellcode:
<?php
$Pfad = base64_decode($_REQUEST['verlauf']);
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en" >
<head>
<title>Anzeige</title>
<link rel="stylesheet" type="text/css" href="style.css"/>
</head>
<body>
<div id="untermenue">
   <?php    
   if ($Pfad != 'dateien' && trim($Pfad) != '')
   {         ?>
      <div id="verlauf">   
         <?=$Pfad?>
      </div>   
   <?php     
   }                      
   ?>         
         <div id="inhalt">   
         
   <?php   
   if ($_GET['site'] == 'dateien')
   {
      $type = strtolower($_GET['type']);
      switch ((string)$type) {
         
         case 'jpeg':
         case 'gif' :
         case 'png' :
         case 'jpg' :    echo '[img]dateien/' . $Pfad . '[/img]';
                     break;
         case 'txt' :   $datei = fopen("dateien/" . $Pfad,"r");
                     while (!feof($datei)) {
                        $text = fgets($datei,512);
                        $text = str_replace("\n","
",$text);
                        echo $text . "</br>";
                     }
                     break;
         case 'pdf'   :   echo '<embed src="dateien/' . $Pfad . '" width="751" height="606" />';
                     break;
         case 'zip'   :
         case 'rar'   :    echo '<center>[url="dateien/' . $Pfad . '"]' . $_GET['dateiname'] . '[/url]</center>';   
                     break;
         case 'htm'  : include('dateien/' . $Pfad);
                     break;            
      }
   }   ?>
      </div>   
</div>
</body>
</html>
Roman
  Mit Zitat antworten Zitat
 

« Vorheriges Thema | Nächstes Thema »

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus
Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:14 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz