Archiv verlassen und diese Seite im Standarddesign anzeigen :
Include und die Sicherheit
Ich hab jetzt ewig gesucht, habe dabei immer wieder gefunden, was genau die Sicherheitslücken sind, aber nicht, wie man diese schließt. Bei folgendem Script Beispielsweiße:
$content = $_GET['content'];
$data = "ordner/unterordner/" . $content . ".php";
include($data);
Was bestehen da für Sicherheitslücken und wie kann man diese schließen? In ein übergeordnetes Verzeichnes zu gehen funktioniert wegen dem ordner/unterordner/ ja wohl kaum.
Lg,
Hallo1
Was bestehen da für Sicherheitslücken Das weißt du doch längst. Also warum wiederholst du die Frage zum 100sten Mal?
und wie kann man diese schließen? Das geht sicher konkretre. Oder willst du mir sagen, dass du keine einzige deiner gefunden Lücken schließen konntest? Also, WO hast du noch Probleme?
In ein übergeordnetes Verzeichnes zu gehen funktioniert wegen dem ordner/unterordner/ ja wohl kaum. Stimmt, das geht im Windows-Explorer oder in Dos ja auch nicht. Oder doch? "cd .." ;)
Naja, ich hab keinen Bock aus irgendeiner Liste was abzugleichen, sondern will anders verhindern, dass man in übergeordnete Verzeichnisse kommt, da was includen kann und das jemand Seiten von fremden Space einfügen kann.
ghostgambler 22-09-2007, 10:33
Du kannst die Liste zum Abgleichen ja sogar dynamisch erstellen...
Wie war das noch? Coder vs. Programmierer? _-_
Ich hab aber auch keinen Bock auf Datenbanken ;P
ghostgambler 22-09-2007, 10:43
Original geschrieben von Hallo1
Ich hab aber auch keinen Bock auf Datenbanken ;P
Meinte ich auch nicht *zuck*
dir (http://www.php.net/manual/de/class.dir.php) z.B.
Okay, danke (Hab ich noch nie gesehen Oo)
Eine Frage hätte ich dennoch:
Ich hab mal bei einer Seite gesehen, dass die für jede ihrer Sektionen eine andere $_GET-Variable benutzen. Wie macht man soetwas? Ich kann es mir absolut nicht vorstellen (und es intressiert mich ^^")
Die hier mein ich: http://www.castle-oblivion.net/
ghostgambler 22-09-2007, 11:38
Sind doch nur 3 Variablen...
Gucken ob die erste gesetzt ist, wenn nein gucken ob die zweite gesetzt ist, wenn nein, gucken ob die dritte gesetzt ist.
Sowas über Get-Parameter zu lösen ist aber überhaupt nicht mehr gängige Praxis - im Gegenteil, ist fast schon verrufen - genauso wie das, was du hier machen willst (Dateinamen als Get-Parameter übergeben)
tontechniker 22-09-2007, 13:41
Warum das dumm ist: *Hust* (http://www.castle-oblivion.net/?site=../../index) (leider wird noch php drangehängt sonst wären wir schon bei passwd ... achso und vorsicht Endlosschleife ;))
ghostgambler 22-09-2007, 13:49
Original geschrieben von tontechniker
Warum das dumm ist: *Hust* (http://www.castle-oblivion.net/?site=../../index) (leider wird noch php drangehängt sonst wären wir schon bei passwd ... achso und vorsicht Endlosschleife ;))
:rofl:
Es gibt Leute, die sollten das mit dem Programmieren einfach lassen ^^;;;
tontechniker 22-09-2007, 14:00
Es gibt Leute, die sollten das mit dem Programmieren einfach lassen ^^;;; Leider gibt es keine Suchmaschine, die die GET Parameter durchsucht ;) (Ask meint sogar ich verstoße gegen die Nutzungsbedingungen (http://de.ask.com/web?q=inurl%3A+site+php&sm=adv&advl=de&dm=lang&qsrc=66))
Original geschrieben von tontechniker
Leider gibt es keine Suchmaschine, die die GET Parameter durchsucht ;) (Ask meint sogar ich verstoße gegen die Nutzungsbedingungen (http://de.ask.com/web?q=inurl%3A+site+php&sm=adv&advl=de&dm=lang&qsrc=66))
Das ist so nicht richtig. Allerdings sind idr. gewisse Keywords wie php, phpBB, etc. gesperrt/verboten.
tontechniker 22-09-2007, 17:22
Das ist so nicht richtig. Allerdings sind idr. gewisse Keywords wie php, phpBB, etc. gesperrt/verboten. Wenn sich deine Antwort auf Ask bezieht: Hab ich gemerkt - nicht gerade die feine Art - ansonsten Google und andere suchen auch nach php allerdings alle nicht in der Query.
|
