includen von php-Dateien

**TobiaZ** · 25.07.2003, 23:00

im endeffekt ist das nichts anderes als ein normaler include, oder?

**trekkie2003** · 25.07.2003, 23:04

include

Ja es handelt sich um einen "normalen" include:
aber halt dass keine vorbestimmte seite included wird, sondern halt über eine variable die seite eingebunden wird

mit include($site);
und eben dem dazugehörigen Link:
www.meineseite.de?site=test

Danke und ciao
trekkie2003

**TobiaZ** · 25.07.2003, 23:08

ist ja im endeffekt kein unterschied für die "Funktion".

ABER lass dir gesagt sein: "LASS ES!"

sonst kommme ich mit index.php?site=config.php und guck mir alles an.

sieh dir mal diverse Threads im Forum an. So macht man das nicht!

**trekkie2003** · 25.07.2003, 23:16

??!!!

Was soll daran so schlecht sein...
und vor allem was willst du dir angucken-wie du es nennst-
Ich habe mal als suchwort include eingegeben, aber nichts dazu gefunden....
cya

**TobiaZ** · 26.07.2003, 10:42

ich werde mich hüten das ganze noch einmal erklären...
(der letzte Thread ist grad mal zwei wochen her denke ich)

aber ich könnte auch in andere verzeichnisse zugreifen, oder halt fremde seiten enbinden, ...

Guck einfach noch mal

**Trashar** · 26.07.2003, 10:47

OffTopic:
@ tobiaz

dein brainstorming link in der sig bringt das:
Inkorrekte search angegeben. Wenn Du einem korrekten Link gefolgt bist, solltest Du den Administrator benachrichtigen.

**TobiaZ** · 26.07.2003, 11:00

habs mal erneuert. anscheinend macht das liebe forum ab und zu mal ne cleanaktion.

**Wotan** · 26.07.2003, 11:17

Schau dir mal diesem Beitrag dazu an:
http://www.php-resource.de/forum/sho...threadid=17825

**Seikilos** · 26.07.2003, 13:15

kurz mal zwischen gedrängt.
Wenn man so den threads folgt und alle seine schlüsse zieht, kommt man zu dem, wenn man zu viele dateien hat, sollte man sich die grenzen für include einfallen lassen. Also im grunde prüft man ausgiebig die variable auf böse zeiger. wenn man ein script schreibt, was dateien included, so liegen die wohl kaum als bsp hier: "../../../admin/file/data.php"
Wenn es doch jemand so schreibt, sollte er sich erschlagen. Man kann in dem string nach Pfad angaben suchen, oder nach //, dann wird da ja wohl vorher n http oder sonst was davor stehen. Oder explizit wichtige dateien rausfischen. Man sagt dem Script einfach nicht dass was er nehmen darf, was wie erwähnt bei sagen wir 500 dateien mit switch ne lebensaufgabe wird, sondern dass, was er auf keinen fall nehmen darf, seien es inc dateien. oder sonst was

**wahsaga** · 27.07.2003, 21:34

Original geschrieben von Seikilos
Man sagt dem Script einfach nicht dass was er nehmen darf, [...] sondern dass, was er auf keinen fall nehmen darf

damit hast du aber wieder das generelle problem mit white- kontra black listen:

deine ausschlussliste muss absolut alle auszuschliessenden fälle umfassen - wobei da idR immer wieder welche auftauchen können, an die du beim erstellen nicht gedacht hast.

bei einer white list hast du das problem nicht - da definierst du selber ja alle fälle, die erlaubt werden sollen. wenn du dabei einen vergisst, wirst du das recht schnell am auftretenden fehler merken.

also, nur als anmerkung: bei verwendung einer black list sollte man sich schon 100%ig sicher sein, was man tut, und dass man auch wirklich alle möglichen fälle aufgeführt hat (wobei die frage wie gesagt ist, wie sicher man sich darin überhaupt sein kann).

**Seikilos** · 27.07.2003, 21:36

aber wenn die white list 500 einträge hat, dann is das pflegen sehr mühsam, man sollte daher immer absolute blacklists haben, wie begrenzungen innerhalb eines orderdners oder nur n sub ordner usw

includen von php-Dateien