|
PHP- Sicherheit von php-script / datei anzeige
In meiner index.php wird ein bestimmter Ordner ausgelesen und alle dateien und order und unterordner werden ausgelesen und daraus wird ein Menü
ähnlich dem Windows-Explorer menü angezeigt. So die dateien werden als links dargestellt.Ein Link sieht so aus:
Delphi-Quellcode:
Die Datei anzeige.php zeigt dann die entsprechenden Dateien an. Das Problem war jetzt, dass man die datein z.B. mit ../index.php aufrufen konnte und einem der Inhalt der index.php datei angezeigt wurde. Jetzt hab ich ne verschlüsselung eingebaut nur ich glaube, dass das noch net reicht. jetzt würd ich gerne prüfen ob in dem link mit dem die anzeigt.php aufgerufen wird ../ enthält.
[url="anzeige.php?site='. $_REQUEST['site'] . '&type=' . $type . '&verlauf=' . base64_encode($verlauf) . '"]' . $row . '[/url]
Jetzt ist nur die Frage wie das geht, habs mit preg_match nicht hinbekommen und ob das überhauot ausreicht oder ob es bessere Möglichkeiten gibt zu verhindern dass nur dateien aus dem bestimmten ordner angezeigt werden. Quellcode anzeige.php:
Delphi-Quellcode:
<?php
$Pfad = base64_decode($_REQUEST['verlauf']); ?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en" > <head> <title>Anzeige</title> <link rel="stylesheet" type="text/css" href="style.css"/> </head> <body> <div id="untermenue"> <?php if ($Pfad != 'dateien' && trim($Pfad) != '') { ?> <div id="verlauf"> <?=$Pfad?> </div> <?php } ?> <div id="inhalt"> <?php if ($_GET['site'] == 'dateien') { $type = strtolower($_GET['type']); switch ((string)$type) { case 'jpeg': case 'gif' : case 'png' : case 'jpg' : echo '[img]dateien/' . $Pfad . '[/img]'; break; case 'txt' : $datei = fopen("dateien/" . $Pfad,"r"); while (!feof($datei)) { $text = fgets($datei,512); $text = str_replace("\n"," ",$text); echo $text . "</br>"; } break; case 'pdf' : echo '<embed src="dateien/' . $Pfad . '" width="751" height="606" />'; break; case 'zip' : case 'rar' : echo '<center>[url="dateien/' . $Pfad . '"]' . $_GET['dateiname'] . '[/url]</center>'; break; case 'htm' : include('dateien/' . $Pfad); break; } } ?> </div> </div> </body> </html> |
Re: PHP- Sicherheit von php-script / datei anzeige
Vielleicht bringt dich
 basename() weiter. :zwinker: Ach ja: Sowas
Code:
würde ich immer so machen:
echo $_REQUEST['site'];
Code:
:wink:
echo htmlspecialchars($_REQUEST['site']);
|
Re: PHP- Sicherheit von php-script / datei anzeige
Danke für den Tipp.
basname() bringt mich leider nicht weiter. Ich überprüfe einfach ob der pfad ../ enthält. |
Re: PHP- Sicherheit von php-script / datei anzeige
Code:
Auch $_GET['dateiname'] ist ein Sicherheitsrisiko da man hier durch Links html-Code einschleusen kann, um so PWs aus Cookies auszulesen.
if (str_replace("..", "", $pfad) != $pfad) {
die("Kein Platz für Hacker"); } |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:22 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz