[PHP5] Wishlist für REQUEST_URI

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • [PHP5] Wishlist für REQUEST_URI

    hi

    Ich hab da eine Wunschliste mit Zeichen die ich in meiner $_SERVER['REQUEST_URI'] zulassen möchte.
    PHP-Code:
    $uri $_SERVER['REQUEST_URI'];
    if (!
    preg_match('/^[\w|öäüß|\-|\.|?|=|\/|&|#]+$/i'$uri)){
    // die() nur zum testen
    die('oops, unerwuenschtes zeichen');

    Das ganze funktioniert bisher auch wie gewünscht.

    Meine frage dazu, wie Sinnvoll bzw. Sinnfrei ist die Idee hinsichtlich Sicherheit und Co ?

    gruß bUTschy
    4cms.de

  • #2
    warum sollte es zur sicherheit beitragen, irgendwelche zeichen irgendeiner servervariable zu filtern?

    Kommentar


    • #3
      hi penizillin

      Daher ja meine frage
      4cms.de

      Kommentar


      • #4
        wenn du keine antwort auf meine hast - was ist der sinn deines skriptes dann? einfach ein paar funktionen zum lauffähigen programm bringen?

        du kannst nicht die sicherheit erhöhen, wenn du nicht weißt, wodurch sie gefährdet wird.

        Kommentar


        • #5
          Ich möchte vermeiden, das "jemand" die URL manipuliert mit welchem Ziel auch immer (stichwort: remote file inclusion) fremdcode einschleusen.

          Sorry, ich ging davon aus, das mein Ziel offentsichlich ist.

          Ich bin auf den Holzweg, richtig ?
          4cms.de

          Kommentar


          • #6
            Ich möchte vermeiden, das "jemand" die URL manipuliert ...
            ich darf in meine adressleiste eingeben, was ich will, oder?

            und warum sollte ein "ö" oder ein gleichheitszeichen ein indiz dafür sein, dass ich bei dir code einschleusen will?

            Kommentar


            • #7
              Außerdem hilft es nichts wenn du irgendwelche Servervariablen bearbeitest. Probleme die du beschreibst kommen über $_GET / $_POST und werden dann evtl. von dir includiert, dass heißt du musst an einer ganz anderen Stelle dagegen vorgehen.
              Die Regeln | rtfm | register_globals | strings | SQL-Injections | [COLOR=silver][[/COLOR][COLOR=royalblue]–[/COLOR][COLOR=silver]][/COLOR]

              Kommentar


              • #8
                hi
                Mit $_GET und $_POST ist mir schon klar.

                Ich hatte schon den verdacht, das ich hier auf dem Holzweg bin und wohl Wishlist für $_GET meine
                4cms.de

                Kommentar


                • #9
                  www.das-dass.de

                  Kommentar


                  • #10
                    Meinetwegen
                    so Emotionslos wirkt das auf mich irgendwie Kluggeschissen
                    4cms.de

                    Kommentar

                    Lädt...
                    X