php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Sonstiges > Off-Topic Diskussionen
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


Off-Topic Diskussionen Kein Platz für Deine Frage gefunden? Dann bist Du hier genau richtig!

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 09-02-2006, 13:11
mp17
 Newbie
Links : Onlinestatus : mp17 ist offline
Registriert seit: Feb 2006
Beiträge: 27
mp17 ist zur Zeit noch ein unbeschriebenes Blatt
Standard include von anderem server?

sagt mal, kann es sein, dass man ein include befehl von nem anderen server machen kann? also so in etwa:

<php? include(http://wasweissich.de/config.php) /?>

weil das wär ja dann voll krass, dann könnte man ja irgentwelche conif dateien von anderen server inspizieren....

Geändert von wahsaga (09-02-2006 um 13:20 Uhr)
Mit Zitat antworten
  #2 (permalink)  
Alt 09-02-2006, 13:19
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard Re: include von anderem server?

Zitat:
Original geschrieben von mp17
sagt mal, kann es sein, dass man ein include befehl von nem anderen server machen kann? also so in etwa:

<php? include(http://wasweissich.de/config.php) /?>
Ja, das kann man - wenn allow_url_fopen aktiviert ist.
Zitat:
weil das wär ja dann voll krass, dann könnte man ja irgentwelche conif dateien von anderen server inspizieren....
Nein, das ist nicht "voll krass" - eine Datei mit der Endung .php wird vom Webserver geparst, bevor sie ausgeliefert wird. Du bekommst also höchstens die Ausgabe des Scriptes (bei include-Dateien idR. vermutlich gar keine) - aber keinesfalls den Quellcode.

Lediglich, wenn die Datei vom Webserver nicht geparst würde - weil falsche Endung o.ä. - dann wäre das "voll krass" blöd vom Scriptersteller.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #3 (permalink)  
Alt 09-02-2006, 13:39
mp17
 Newbie
Links : Onlinestatus : mp17 ist offline
Registriert seit: Feb 2006
Beiträge: 27
mp17 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

jo lol^^
nee hät ja sein können, aber wenn man jetzt die php aufm server liegen hat, dann würde er die nicht parsen oder? also zum beispiel

<?php include 'inc/config.php'; ?>

das würde dann ungeparste daten rausgeben oder?
Mit Zitat antworten
  #4 (permalink)  
Alt 09-02-2006, 13:52
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von mp17
das würde dann ungeparste daten rausgeben oder?
Nein, würde es auch nicht.

Wirklich Ahnung wo von du redest hast du nicht, oder?


Mit readfile o.ä. würdest du den ungeparsten Inhalt einer lokalen Datei bekommen.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #5 (permalink)  
Alt 09-02-2006, 14:47
Benny-one
 Master
Links : Onlinestatus : Benny-one ist offline
Registriert seit: Jan 2002
Ort: Fulda
Beiträge: 5.700
Benny-one ist zur Zeit noch ein unbeschriebenes Blatt
Benny-one eine Nachricht über ICQ schicken
Standard

richtig dumme scripthersteller speichern ihre config so ab: config.inc und so eine Datei könntest du dann includen. Aber wie gesagt, der Scripthersteller wäre mega dumm.
Mit Zitat antworten
  #6 (permalink)  
Alt 16-02-2006, 09:35
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Aber wie gesagt, der Scripthersteller wäre mega dumm.
und macht am Besten config.inc.php draus
OffTopic:

Und an den Sourcecode kannst du mittels include() sehr wohl kommen, wenn der Deppmaster äh Webmaster keinen PHP Handler in den Apachen oder IIS einbaut




Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #7 (permalink)  
Alt 27-10-2008, 19:12
Sir_Paladin
 Newbie
Links : Onlinestatus : Sir_Paladin ist offline
Registriert seit: Oct 2008
Beiträge: 2
Sir_Paladin ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ich befasse mich gerade mit dem Thema.

Bei dem Require-Befehl hab ich gelesen, dass PHP-intern der Aufruf durch den Code der Aufzurufenden datei ersetzt wird.

Habe 2 Dateien auf 2 Servern.
erste datei, die direkt im browser angesprochen wird (Auf Server 1):
PHP-Code:
<?php
//ini_set("allow_url_fopen", 'on');
//ini_set("allow_url_include", 'on');
$variable "datei 1";
include(
"http://www.domain.de/pfad/require_2.php");
echo 
$sensible_variable;
?>
Datei 2, die aus Datei 1 heraus aufgerufen wird. (Auf Server 2)
PHP-Code:
<?php
$sensible_variable 
"SELECT befehl, der aufschluss auf die DB-Struktur gibt";
echo 
"gruss aus requrie_2.php<br/>zeile 2";
echo 
$variable;
?>
Also wenn die beiden Dateien auf ein und demselben Server liegen, können sie gegenseitig ihr Variablen sehen.
Jedoch bei Verteilung auf den beiden Server, wie bei meinen Tests gerade sieht "Datei 1" nur die echo "grüße ..."-Ausgabe. Die variablen gegenseite können Sie nicht sehen (so wie es lokal der fall war).

Soweit scheint das sicher zu sein. Sonst könnte man ja mit einer BruteForce-Attacke den Inhalt von $sensible_variable auslesen.

Meine Frage ist nun: Kann man Irgendwie doch auf die Variablen der jeweils anderen Datei zugreifen? Hab ich da irgendeine Einstellung übersehen (die beiden auskommentierten ini_set Befehle scheinen nichts zu bewirken), die meine Variablen gefährten könnten?

Danke schonmal im Voraus!
Mit Zitat antworten
  #8 (permalink)  
Alt 27-10-2008, 21:31
lennart
 PHP Junior
Links : Onlinestatus : lennart ist offline
Registriert seit: May 2007
Ort: Hamburg
Beiträge: 565
lennart ist zur Zeit noch ein unbeschriebenes Blatt
Standard

--- Bevor es hier weiter geht sollte sich jeder über die Funktionsweise von HTTP und dem PHP Modul seines Webservers im Klaren sein um weitere Verwirrung zu vermeiden ---
Mit Zitat antworten
  #9 (permalink)  
Alt 27-10-2008, 22:00
phpguru42
 Newbie
Links : Onlinestatus : phpguru42 ist offline
Registriert seit: Oct 2008
Beiträge: 71
phpguru42 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von Sir_Paladin
Meine Frage ist nun: Kann man Irgendwie doch auf die Variablen der jeweils anderen Datei zugreifen?
Also wenn Du deine require_2.php in require_2.txt umbenennst, wird der PHP-Code tatsächlich auf Server 1 ausgeführt, da jetzt der Dateiinhalt inkludiert wird und nicht mehr die geparste Ausgabe.

Das nennt sich dann "PHP Remote Code Injection" und kann passieren, wenn Du ungeprüfst Parameter verarbeitest. Nach dem Motto: include $_GET['page']
Mit Zitat antworten
  #10 (permalink)  
Alt 28-10-2008, 10:18
Sir_Paladin
 Newbie
Links : Onlinestatus : Sir_Paladin ist offline
Registriert seit: Oct 2008
Beiträge: 2
Sir_Paladin ist zur Zeit noch ein unbeschriebenes Blatt
Standard

danke @ phpguru42
genau nach so einer antwort habe ich gesucht

es funktioniert auch so. wenn ich den die require_2.php ind ...txt umbenenne wird der code included und ich kann mit print_r($GLOBALS) mir alle variablen aus require_2.txt anzeigen lassen und wenn die datei eine *.php bleibt geht das nicht.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 08:37 Uhr.