Tweet
was könnte denn schlimmsten falls passieren? wozu kann man das missbrauchen?
-
-
Was passieren kann? Im schlimmsten Fall nimmt irgendjemand den ganzen Server auseinander und nimmt alle anderen Kunden auf dem Server mit. Alles andere liegt dazwischen ;-)<!-- SSI Error Message -- No Source Code available -->Kommentar
-
Naja, ich könnte beliebigen Code durch die includete Datei auf deinem Server ausführen. Also schnellstens beheben, sonst könnte z.B. ein böser Zeitgenosse so ziemlich alles löschen, was du auf dem Server hast!Kommentar
-
man kann jedes beliebige script bei dir includen. möchtest du, daß ich dir das mal vorführe?was könnte denn schlimmsten falls passieren? wozu kann man das missbrauchen?
btw: je länger wir hier diskutieren, desto mehr leute werden aufmerksam ... also, husch, husch.
edit: zu spät? ich krieg nur noch 404er ....Zuletzt geändert von derHund; 05.07.2005, 21:00.Die Zeit hat ihre Kinder längst gefressenKommentar
-
wie soll das gehen? wie kann ich denn beispielsweise festlegen das nur die datenschutz.php seite inkludiert werden kann? dieses verhindert das auch nicht:
oder sollte man das mit if machen. if $seite nicht gleich datenschutz.php dann aufruf der startseite oder so?PHP-Code:<?php switch ($seite) {
case datenschutz.php: include($seite);
break;
case home.php: include($seite);
break; } ?>Kommentar
-
Übergib doch nicht den wirklichen Dateinamen, sondern eine Psydonym.
Oder nutze mod_rewrite.Kommentar
-
hab jetzt erstma die index datei vom server geholt, jetzt dürfe erstma nichts mehr passieren.
du meinst also ich sollte für alle zu inkludierenden seiten variablen nehmen? wie du siehts bin ich noch nicht lang im geschäft mit php, deshalb auch dieser anfängerfehler.Kommentar
-
Man, mach ne index.html drauf.
Nun kann man deine gesamte Verzeichnisstruktur sehen.
Kommentar
-
OffTopic:
puh, ich dachte gerade, jemand hätte dich ... wollte grad loslegen
oh mann ... ruf mal nur die domain ab ... du hasts dir-listing nicht deaktiviert
Die Zeit hat ihre Kinder längst gefressenKommentar
-
bei mir hat er gerade angezeigt, dass ich keine zugriffsrechte hätte und keine verzeichnisstruktur, ist jetzt aber auch egal hab jetzt ne index.html.
wie kann ich denn dir-listing deaktivieren?Kommentar
-
mann,
du gestaltest meinen abend wirklich spannend ... bastel dir eine sichere methode und gut. anregungen dazu findest du hier im forum.
edit: wenn man den namen deiner unterverzeichnisse kennt, kann man immer noch browsen ... hast du bei deinem server keine config-oberfläche, wo man das global deaktivieren kann? naja, mir egal.Zuletzt geändert von derHund; 05.07.2005, 21:10.Die Zeit hat ihre Kinder längst gefressenKommentar
-
ist jetzt immer noch nicht sicher?Kommentar
-
Du bist aber schnell in Spannung zu versetzen *g*mann,
du gestaltest meinen abend wirklich spannend
Kommentar
-
Original geschrieben von Schnoop
Nun kann man deine gesamte Verzeichnisstruktur sehen.
OffTopic:
Mit dem richtigen Script ging das auch vorher... *g*
Du könntest, wie schon vorgeschlagen, ein Pseudonym, z.B. eine id, übergeben und dann überprüfen.Kommentar
-
der ansatz mit switch wäre machbar wenn man den einzelnen seiten id's geben würde?Kommentar
Kommentar