Delphi-PRAXiS - PHP Problem

Seite 2 von 2

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)

- Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)

- - PHP Problem (https://www.delphipraxis.net/84779-php-problem.html)

Zitat:

Zitat von BUG

:shock: Es sollten nie Seiten/Dateien aus Parametern direkt aufgerufen werden,
lieber nochmal die Gültigkeit überprüfen (zB: durch eine DB) , sonst :arrow: Riesensicherheitlücke :!:
(Pishing, Cross-Site-Scripting, ...)

So ist es. Ausserdem, wenn es nicht unbedingt mit Frames gemacht werden muss, kannst du das Schlimmste auch sehr einfach verhindern: verwende einfach include(). Wenn dein Provider nicht bescheuert ist, hat er entweder safe_mode mit einer open_basedir-Restriction an, oder mindestens allow_url_fopen aus. Damit koennen keine Remote-Dateien gelesen werden. Gescheiter ist das: Anstatt

Code:

if(file_exists('pages/'.$page))

zu schreiben, schreibst du:

Code:

			if (preg_match('#^[a-z0-9\-_]+\.html$#i', $page) && file_exists('pages/'. $page))
		

Damit muss ein Dateiname mit mindestens einem Alphanumerischen Zeichen sowie - oder _ beginnen, und mit ".html" enden. Sonst koennte jemand auch /etc/passwd auslesen, und das waere leicht besch*.

Greetz
alcaeus

Zitat:

Zitat von BUG

:shock: Es sollten nie Seiten/Dateien aus Parametern direkt aufgerufen werden,
lieber nochmal die Gültigkeit überprüfen (zB: durch eine DB) , sonst :arrow: Riesensicherheitlücke :!:

Würde er das ganze per include, readfile oä. lösen, würde ich zustimmen, da so wirklich jede Datei auf dem Server, die passende Leserechte hat, ausgelesen werden kann; er benutzt jedoch Frames, da ist es doch egal ob er das Ergebnis "auswertet", wenn das Skript die Seite nicht anzeigt, ruft der "Angreifer" sie eben direkt auf.
btw: Ich würde es auch nicht direkt ausgeben, zumindest basename() oä. sollte benutzt werden.

Grüße
Faux

Hi,

mal eine dumme Frage, sind Frames nicht out ? Ich bin doch der Meinung, dass die meisten Seiten aus Templates, Tabellen oder Flash bestehen. Ich würde das ganze über Templates lösen und lediglich nur eine Zahl oder ein Wort als Parameter übergeben. So können keine Rückschlüsse auf eventuelle Dateien auf dem Server gemacht werden.

Eine gute Template-Engine ist zum Beispiel

Smarty.

Tabellen sind noch mehr out nicht unbedingt die Frames, obwohl man sie auch durch <divs> ersetzten könnte, wobei Frames doch gewisse Vorteile besitzen. Und ob man Seiten mit Hilfe von Templates gestaltet oder nicht hat mit der Verwendung von "veralteter" Tags nichts zu tun.

Wo ist denn der Vorteil von den ganzem CSS Zeug im Gegensatz zu Tabellen?

Das man sie besser Positionieren und Stylen kann

Ja, aber wenn das gar nicht so nötig ist, kann man doch nicht sagen, dass Tabellen schlecht sind.

Habe ich auch nicht behauptet.

Mit css kann man Tabellen auch sehr gut "stylen". Es hat alles Vor und Nachteile. In vielen Fällen finde ich Tabellen einfach übersichtlicher vom Code her, doch da der <div>-Code meist deutlich weniger ist, nehme ich das, so gut es geht. Aber du hast Recht, man kann nicht sagen, dass Tabellen schlecht sind, sie sind für's Layouten nur nicht sonderlich gut geeignet, da man anders etwas flexibler ist.
Tabellen haben den Vorteil, dass jeder Browser damit recht gut klar kommt, <div> kann einen wirklich Nerven kosten, wenn's überall gleich aussehen soll - kann (nicht muss). ;)

Zitat:

Zitat von Eichhoernchen

Ja, aber wenn das gar nicht so nötig ist, kann man doch nicht sagen, dass Tabellen schlecht sind.

Überschrift "Tabellenloses Design?":

http://tevs.nophia.de/

Seite 2 von 2