php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Bewertung: Bewertung: 1 Stimmen, 5,00 durchschnittlich.
  #1 (permalink)  
Alt 14-08-2008, 22:50
INC.
 Registrierter Benutzer
Links : Onlinestatus : INC. ist offline
Registriert seit: Nov 2005
Beiträge: 106
INC. ist zur Zeit noch ein unbeschriebenes Blatt
Standard Was haltet ihr von dieser Includemethode?

Hallo

Es geht - ganz klassisch - darum, über die index.php eine Seite zu includen, die über die Url entgegengenommen wird (also z.B. index.php?site=news).

Dazu habe ich folgendes geschrieben:

PHP-Code:
if (!preg_match("#^[A-Za-z0-9]$#"$_GET['page'])) {
die();
} else {
$site 'includes/' $_GET['page'] . '.php';
  if (
file_exists($site))
  {
        include(
$site);
  }

Was haltet ihr davon, vor allem Sicherheitstechnisch? Es wurde mir gesagt, dass es verdammt unsicher ist, mit einer Usereingabe DIREKT auf das Dateisystem zu zielen. Daraufhin hab ich noch den Regexteil hinzugefügt.

Also:

- Der Parameter aus der URL darf nur A-Za-z0-9 enthalten
- die Datei muss auf PHP enden
- die Datei muss im includes-Ordner stecken

Der Parameter wird ja regelrecht in den Pfad gepresst.
Ich hätte das eigentlich für verdammt sicher gehalten, aber werde gerne eines besseren belehrt.
Mit Zitat antworten
  #2 (permalink)  
Alt 14-08-2008, 23:06
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Passt schon. Unsicher wirds erst, wenn jemand einen Bug in preg_match() entdeckt.
Langsam ist es natürlich jetzt schon und auch nicht besonders sumafreundlich.
Mit Zitat antworten
  #3 (permalink)  
Alt 14-08-2008, 23:07
Blackgreetz
 PHP Junior
Links : Onlinestatus : Blackgreetz ist offline
Registriert seit: Oct 2005
Beiträge: 901
Blackgreetz ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Warum nicht fest definieren über eine switch?

Ansich kann er somit alle Dateien aufrufen, die existieren. Egal, ob man sie sehen soll, oder nicht.

mfg
Mit Zitat antworten
  #4 (permalink)  
Alt 14-08-2008, 23:22
INC.
 Registrierter Benutzer
Links : Onlinestatus : INC. ist offline
Registriert seit: Nov 2005
Beiträge: 106
INC. ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo, danke schonmal

Zitat:
Passt schon. Unsicher wirds erst, wenn jemand einen Bug in preg_match() entdeckt.
Langsam ist es natürlich jetzt schon und auch nicht besonders sumafreundlich.
Ich nehme mal an, file_exists ist der Flaschenhals? bei so Sachen fehlt mir einfach dieses Wissen, aber "langsam" ist ja auch manchmal subjektiv.

Aber warum ist es nicht suchmaschinenfreundlich? (ich nehme mal an, dass "suma" Suchmaschine bedeutet ).
Da die Suma den PHP-Code nicht zu gesicht bekommt, ist es doch genauso (wenig) sumafreundlich wie alle anderen Varianten, die "index.php?site=news" verarbeiten können
Am Ende gibt diese URL doch nur den HTML-Code der News aus, genauso wie alle anderen Möglichkeiten.


Zitat:
Warum nicht fest definieren über eine switch?
Das ist meine bisher verwendete Methode, von der ich mich nun trennen wollte. Es ist einfach verdammt umständlich, jedes mal bei einer neuen Seite, die angelegt werden soll, den switch zu erweitern und wieder hochzuladen - statt einfach nur die neue Datei hochzuladen.


Zitat:
Ansich kann er somit alle Dateien aufrufen, die existieren. Egal, ob man sie sehen soll, oder nicht.
Es kann nur includet werden, was in einem speziell dafür angelegten Ordner ist (in dem Fall "includes").
Mit Zitat antworten
  #5 (permalink)  
Alt 15-08-2008, 08:42
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Ich nehme mal an, file_exists ist der Flaschenhals? bei so Sachen fehlt mir einfach dieses Wissen, aber "langsam" ist ja auch manchmal subjektiv.
Nein, das preg_match! Reguläre Ausdrücke sind (fast) immer langsamer als die einfachen String-Funktionen.

Zitat:
Aber warum ist es nicht suchmaschinenfreundlich?
Denke, onemorenerd meint damit, dass du immer über die index.php gehst. Ein mod_rewrite in der Form:
Code:
http://www.example.com/news
wäre sicher nicht verkehrt.

Das du bei nicht-übereinstimmen des Regexp einfach stirbst ist ganz und gar nicht Sinnvoll! Da wäre eine Anzeige der Startseite oder einer 404 mit Suchfeld sinnvoller.
Mit Zitat antworten
  #6 (permalink)  
Alt 15-08-2008, 12:56
INC.
 Registrierter Benutzer
Links : Onlinestatus : INC. ist offline
Registriert seit: Nov 2005
Beiträge: 106
INC. ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von PHP-Desaster
Nein, das preg_match! Reguläre Ausdrücke sind (fast) immer langsamer als die einfachen String-Funktionen.

Okay. Dann verwende ich am besten ctype_alnum? Dürfte schneller sein.
Habe regex verwendet, da ich damit bei Formularen immer whitelisting betreibe und es deshalb gewohnt war.

Zitat:
Original geschrieben von PHP-Desaster
Denke, onemorenerd meint damit, dass du immer über die index.php gehst. Ein mod_rewrite in der Form:
Code:
http://www.example.com/news
wäre sicher nicht verkehrt.

mod_rewrite wird kommen. Aber über index.php zu gehen ist ja praktisch das Fundament der ganzen Sache, mod_rewrite schreibts ja praktisch nur um?

Zitat:
Original geschrieben von PHP-Desaster
Das du bei nicht-übereinstimmen des Regexp einfach stirbst ist ganz und gar nicht Sinnvoll! Da wäre eine Anzeige der Startseite oder einer 404 mit Suchfeld sinnvoller.
Habe da nur ein die() geschrieben, um Codezeilen im Beitrag zu sparen. Eigentlich inkludiere ich ne 404-Seite, so dass keiner auf die Idee kommt, dass die Datei überhaupt existiert.

Geändert von INC. (15-08-2008 um 12:58 Uhr)
Mit Zitat antworten
  #7 (permalink)  
Alt 15-08-2008, 13:11
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Okay. Dann verwende ich am besten ctype_alnum? Dürfte schneller sein.
Zum Beispiel. Eigentlich sollte eine Kombination aus basename und file_exists schon genügen.

Zitat:
mod_rewrite wird kommen. Aber über index.php zu gehen ist ja praktisch das Fundament der ganzen Sache, mod_rewrite schreibts ja praktisch nur um?
Jep.
Mit Zitat antworten
  #8 (permalink)  
Alt 15-08-2008, 13:19
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

PHP-Code:
if(isset($_GET['page'])){
  
$file basename($_GET['page']);
  if(
file_exists("includes/{$file}.php")){
    include(
"includes/{$file}.php");
  }else{
   
//hier kannst du alternativ einen 404-er werfen
    
die('Seite nicht gefunden');
  }
}else{
  
//Hauptseite anzeigen

RegExp brauchst du imho ned. basename() sollte dafür sorgen dass keine ../ und ./ im Dateinamen diese Operation überleben
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #9 (permalink)  
Alt 15-08-2008, 13:24
UzumakiNaruto
 Registrierter Benutzer
Links : Onlinestatus : UzumakiNaruto ist offline
Registriert seit: Nov 2004
Beiträge: 642
UzumakiNaruto befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von jahlives
PHP-Code:
if(isset($_GET['page'])){
  
$file basename($_GET['page']);
  if(
file_exists("includes/{$file}.php")){
    include(
"includes/{$file}.php");
  }else{
   
//hier kannst du alternativ einen 404-er werfen
    
die('Seite nicht gefunden');
  }
}else{
  
//Hauptseite anzeigen

RegExp brauchst du imho ned. basename() sollte dafür sorgen dass keine ../ und ./ im Dateinamen diese Operation überleben
include("includes/{$file}.php"); was ist das den für eine schreibweise? meine natürlich die {}
__________________
Gruß
Uzu

private Homepage
Mit Zitat antworten
  #10 (permalink)  
Alt 15-08-2008, 13:36
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
was ist das den für eine schreibweise?
Siehe Handbuch: http://www.php.net/manual/de/language.types.string.php
__________________
Wir werden alle sterben
Mit Zitat antworten
  #11 (permalink)  
Alt 15-08-2008, 13:49
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
was ist das den für eine schreibweise?
Vars sollten in " und " auch ohne {} gefunden werden. Aber z.B. in der IDE erhöht dieses Schreibweise die Lesbarkeit enorm, denn so werden die Vars auch als solche dargestellt und nicht einfach als Teil des Strings
Und hier finde ich {} auch nötig
PHP-Code:
//dat gibt nen Fehler
echo "A banana is $fruits['banana'] and tastes great";
//und dat ned
echo "A banana is {$fruits['banana']} and tastes great";
//und hier müssen sie sein
$fruits 'banana';
echo 
"{$fruits}tastes great";
//ohne { würde PHP nach einer Var $fruitstastes suchen und nicht finden 
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

Geändert von jahlives (15-08-2008 um 13:53 Uhr)
Mit Zitat antworten
  #12 (permalink)  
Alt 15-08-2008, 14:03
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von jahlives
Vars sollten in " und " auch ohne {} gefunden werden. Aber z.B. in der IDE erhöht dieses Schreibweise die Lesbarkeit enorm, denn so werden die Vars auch als solche dargestellt und nicht einfach als Teil des Strings
Und hier finde ich {} auch nötig
Zend Studio stellt es auch ohne {} als Variable dar.
Mit Zitat antworten
  #13 (permalink)  
Alt 15-08-2008, 14:58
INC.
 Registrierter Benutzer
Links : Onlinestatus : INC. ist offline
Registriert seit: Nov 2005
Beiträge: 106
INC. ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Okay, danke

Das mit dem basename versteh ich noch nicht so ganz.
Laut manual extrahiert die Funktion ja aus einem gegebenen Pfad einen Dateinamen.

Nun übertragt get ja sowas wie "news" (zumindest im besten Fall), aber vielleicht auch einen Pfad wenn der Angreifer will, oder vielleicht auch einen Code um einen eventuellen Bug in basename ausnutzen zu können (zu letztem: ka ob das möglich ist, aber mal angenommen).

Auf php.net kann man aber imho nirgends lesen, dass auch garantiert alle slashes entfernt werden. Da man ja nie weiß, was der User eingibt, sollte es ja eher heißen: basename _versucht_ den Dateinamen zu extrahieren. Und selbst wenn alle slashes entfernt werden, sind ja immernoch alle anderen Zeichen im String enthalten, die evt. was böses ausrichten könnten (was auch immer).

Bei ctype_alnum würde halt schonmal ordentlich im voraus gefiltert werden.

(Was macht basename eigentlich exakt? Sucht es immer das letzte Wort ohne slash am Ende eines Strings?)


edit, off topic:
@ jahlives, wäre statt echo "A banana is {$fruits['banana']} and tastes great"; nicht sowas wie print_f("A banana is %s and tastes great", $fruits['banana']); besser?

Geändert von INC. (15-08-2008 um 15:03 Uhr)
Mit Zitat antworten
  #14 (permalink)  
Alt 15-08-2008, 16:28
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Also wenn ich basename('news') mache kriege ich wie gewünscht news raus. Egal wieviele ./ und ../ ich davor anhänge.
Jegliche Pfadangabe wird entfernt.
Zitat:
Und selbst wenn alle slashes entfernt werden, sind ja immernoch alle anderen Zeichen im String enthalten, die evt. was böses ausrichten könnten (was auch immer).
Das wichtigste beim include eines GET Parameters ist es alle Pfadangaben rauszuhauen und das macht basename() sicher. Die anderen Zeichen sind erstmal nicht so tragisch, da du ja zusätzlich prüfst ob die Datei in deinem vorgegebenen Verzeichnis existiert. Oder welche "gefährlichen" Zeichen meinst du sonst?
Zitat:
@ jahlives, wäre statt echo "A banana is {$fruits['banana']} and tastes great"; nicht sowas wie print_f("A banana is %s and tastes great", $fruits['banana']); besser?
imho Geschmackssache
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #15 (permalink)  
Alt 15-08-2008, 17:42
INC.
 Registrierter Benutzer
Links : Onlinestatus : INC. ist offline
Registriert seit: Nov 2005
Beiträge: 106
INC. ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von jahlives


Das wichtigste beim include eines GET Parameters ist es alle Pfadangaben rauszuhauen und das macht basename() sicher. Die anderen Zeichen sind erstmal nicht so tragisch, da du ja zusätzlich prüfst ob die Datei in deinem vorgegebenen Verzeichnis existiert. Oder welche "gefährlichen" Zeichen meinst du sonst?
Naja, bin da Laie, keine Ahnung, aber irgendetwas, was die Seite oder basename()/file_exists aus dem Takt bringen könnte (bei einem evt. Exploit oder Bug). Nur mit Buchstaben und Zahlen wäre das eher unmöglich.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 01:38 Uhr.