php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 22-09-2007, 09:52
Hallo1
 Junior Member
Links : Onlinestatus : Hallo1 ist offline
Registriert seit: Aug 2007
Beiträge: 63
Hallo1 ist zur Zeit noch ein unbeschriebenes Blatt
Standard Include und die Sicherheit

Ich hab jetzt ewig gesucht, habe dabei immer wieder gefunden, was genau die Sicherheitslücken sind, aber nicht, wie man diese schließt. Bei folgendem Script Beispielsweiße:

PHP-Code:
$content $_GET['content'];
$data "ordner/unterordner/" $content ".php";
include(
$data); 
Was bestehen da für Sicherheitslücken und wie kann man diese schließen? In ein übergeordnetes Verzeichnes zu gehen funktioniert wegen dem ordner/unterordner/ ja wohl kaum.

Lg,
Hallo1
Mit Zitat antworten
  #2 (permalink)  
Alt 22-09-2007, 11:08
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Was bestehen da für Sicherheitslücken
Das weißt du doch längst. Also warum wiederholst du die Frage zum 100sten Mal?

Zitat:
und wie kann man diese schließen?
Das geht sicher konkretre. Oder willst du mir sagen, dass du keine einzige deiner gefunden Lücken schließen konntest? Also, WO hast du noch Probleme?

Zitat:
In ein übergeordnetes Verzeichnes zu gehen funktioniert wegen dem ordner/unterordner/ ja wohl kaum.
Stimmt, das geht im Windows-Explorer oder in Dos ja auch nicht. Oder doch? "cd .."
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #3 (permalink)  
Alt 22-09-2007, 11:27
Hallo1
 Junior Member
Links : Onlinestatus : Hallo1 ist offline
Registriert seit: Aug 2007
Beiträge: 63
Hallo1 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Naja, ich hab keinen Bock aus irgendeiner Liste was abzugleichen, sondern will anders verhindern, dass man in übergeordnete Verzeichnisse kommt, da was includen kann und das jemand Seiten von fremden Space einfügen kann.
Mit Zitat antworten
  #4 (permalink)  
Alt 22-09-2007, 11:33
ghostgambler
 Master
Links : Onlinestatus : ghostgambler ist offline
Registriert seit: Jul 2004
Ort: DE - NRW
Beiträge: 4.620
ghostgambler ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Du kannst die Liste zum Abgleichen ja sogar dynamisch erstellen...

OffTopic:
Wie war das noch? Coder vs. Programmierer? _-_
Mit Zitat antworten
  #5 (permalink)  
Alt 22-09-2007, 11:42
Hallo1
 Junior Member
Links : Onlinestatus : Hallo1 ist offline
Registriert seit: Aug 2007
Beiträge: 63
Hallo1 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ich hab aber auch keinen Bock auf Datenbanken ;P
Mit Zitat antworten
  #6 (permalink)  
Alt 22-09-2007, 11:43
ghostgambler
 Master
Links : Onlinestatus : ghostgambler ist offline
Registriert seit: Jul 2004
Ort: DE - NRW
Beiträge: 4.620
ghostgambler ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von Hallo1
Ich hab aber auch keinen Bock auf Datenbanken ;P
Meinte ich auch nicht *zuck*

dir z.B.
Mit Zitat antworten
  #7 (permalink)  
Alt 22-09-2007, 12:16
Hallo1
 Junior Member
Links : Onlinestatus : Hallo1 ist offline
Registriert seit: Aug 2007
Beiträge: 63
Hallo1 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Okay, danke (Hab ich noch nie gesehen Oo)

Eine Frage hätte ich dennoch:
Ich hab mal bei einer Seite gesehen, dass die für jede ihrer Sektionen eine andere $_GET-Variable benutzen. Wie macht man soetwas? Ich kann es mir absolut nicht vorstellen (und es intressiert mich ^^")

Die hier mein ich: http://www.castle-oblivion.net/
Mit Zitat antworten
  #8 (permalink)  
Alt 22-09-2007, 12:38
ghostgambler
 Master
Links : Onlinestatus : ghostgambler ist offline
Registriert seit: Jul 2004
Ort: DE - NRW
Beiträge: 4.620
ghostgambler ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Sind doch nur 3 Variablen...
Gucken ob die erste gesetzt ist, wenn nein gucken ob die zweite gesetzt ist, wenn nein, gucken ob die dritte gesetzt ist.

Sowas über Get-Parameter zu lösen ist aber überhaupt nicht mehr gängige Praxis - im Gegenteil, ist fast schon verrufen - genauso wie das, was du hier machen willst (Dateinamen als Get-Parameter übergeben)
Mit Zitat antworten
  #9 (permalink)  
Alt 22-09-2007, 14:41
tontechniker
 PHP Senior
Links : Onlinestatus : tontechniker ist offline
Registriert seit: Jul 2005
Beiträge: 1.972
tontechniker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Warum das dumm ist: *Hust* (leider wird noch php drangehängt sonst wären wir schon bei passwd ... achso und vorsicht Endlosschleife )
__________________
Die Regeln | rtfm | register_globals | strings | SQL-Injections | []
Mit Zitat antworten
  #10 (permalink)  
Alt 22-09-2007, 14:49
ghostgambler
 Master
Links : Onlinestatus : ghostgambler ist offline
Registriert seit: Jul 2004
Ort: DE - NRW
Beiträge: 4.620
ghostgambler ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von tontechniker
Warum das dumm ist: *Hust* (leider wird noch php drangehängt sonst wären wir schon bei passwd ... achso und vorsicht Endlosschleife )

Es gibt Leute, die sollten das mit dem Programmieren einfach lassen ^^;;;
Mit Zitat antworten
  #11 (permalink)  
Alt 22-09-2007, 15:00
tontechniker
 PHP Senior
Links : Onlinestatus : tontechniker ist offline
Registriert seit: Jul 2005
Beiträge: 1.972
tontechniker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Es gibt Leute, die sollten das mit dem Programmieren einfach lassen ^^;;;
OffTopic:
Leider gibt es keine Suchmaschine, die die GET Parameter durchsucht (Ask meint sogar ich verstoße gegen die Nutzungsbedingungen)
__________________
Die Regeln | rtfm | register_globals | strings | SQL-Injections | []
Mit Zitat antworten
  #12 (permalink)  
Alt 22-09-2007, 16:31
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von tontechniker
Leider gibt es keine Suchmaschine, die die GET Parameter durchsucht (Ask meint sogar ich verstoße gegen die Nutzungsbedingungen)
Das ist so nicht richtig. Allerdings sind idr. gewisse Keywords wie php, phpBB, etc. gesperrt/verboten.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #13 (permalink)  
Alt 22-09-2007, 18:22
tontechniker
 PHP Senior
Links : Onlinestatus : tontechniker ist offline
Registriert seit: Jul 2005
Beiträge: 1.972
tontechniker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Das ist so nicht richtig. Allerdings sind idr. gewisse Keywords wie php, phpBB, etc. gesperrt/verboten.
OffTopic:
Wenn sich deine Antwort auf Ask bezieht: Hab ich gemerkt - nicht gerade die feine Art - ansonsten Google und andere suchen auch nach php allerdings alle nicht in der Query.
__________________
Die Regeln | rtfm | register_globals | strings | SQL-Injections | []
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 22:09 Uhr.