[include] in der Browserzeile bestimmen

**Big Chief** · 11.06.2004, 13:19

PHP-Code:


include($_GET['path']);

**Laire** · 11.06.2004, 13:37

Ok vielen Dank für die schnelle Hilfe....

**pekka** · 11.06.2004, 17:01

Sei dir aber des gigantischen Sicherheitslochs bewußt, das du damit aufreißt. Ein include() via Dateisystem umgeht Zugriffskontrollen wie .htaccess-Passwortabfragen und Sessions.

**derHund** · 11.06.2004, 17:09

Original geschrieben von pekka
Sei dir aber des gigantischen Sicherheitslochs bewußt, das du damit aufreißt.

wenigstens hat es noch jemand erwähnt.

**Laire** · 13.06.2004, 15:35

hmm und was bedeutet das genau bzw. kann man das irgendwie verhindern? Diese Seite arbeitet doch auch mit dem Prinzip oder?

Welche gefahren setzte ich mich und meiner Mitglieder aus?

Also Sicherheitsrelevante Daten werden bei uns eigentlich nicht gehandhabt, wir sind einfach nur eine Fan Community eines Online Spiels.

**Offe1** · 13.06.2004, 15:49

Hi,

nimm doch ein Array:

PHP-Code:


$dateien = array(

"start" => "start.php",

"stop" => "stop.php");



if (!empty($_GET['path']) && array_key_exists($_GET['path'], $dateien){

  include($_GET['path']);

}

Offe

**TobiaZ** · 13.06.2004, 15:49

wenigstens hat es noch jemand erwähnt.

das wurde im forum schon so oft werwähnt.

*gähn*

**pekka** · 13.06.2004, 15:54

Du setzt dich der Gefahr aus, daß jede für den Webserver erreichbare Datei included werden kann - mit oft unabsehbaren Folgen. Etwas mehr Arbeit, aber viieel sicherer: Eine interne Tabelle, die eine Zuordnung zwischen Seitenname (z.B. "hauptseite") und dem entsprechenden Include herstellt. Damit fährst du immer noch recht flexibel - Du mußt bei Änderungen in der Navigationsstruktur nur die Zuordnungstabelle updaten - und sicher: Nur die in der Tabelle erwähten Dateien können included werden.

Beispiel:

Ein Array anlegen mit z.B. folgenden Werten:

PHP-Code:


$includes["hauptseite"] = "/home/hauptseite.php";

$includes["ueberuns"] = "/home/ueberuns.php";

$includes["kontakt"] = "/home/kontakt.php";

Beim Aufruf der index.php wird nun beispielsweise folgendes übergeben:

www.meineseite.de/index.php?path=hauptseite

In der Index.php wird die Hauptseite dann folgendermaßen eingebunden:

PHP-Code:


if file_exists($includes[$_GET["path"])

 include $includes[$_GET["path"];

else 

 die ("Seite nicht gefunden!");

**wahsaga** · 13.06.2004, 15:59

Original geschrieben von pekka
Du setzt dich der Gefahr aus, daß jede für den Webserver erreichbare Datei included werden kann - mit oft unabsehbaren Folgen.

das scheint aber schon abgefangen zu sein, denn http://www.ug-team.de/include.php?pa...p-resource.de/ liefert nur eine fehlermeldung.

**derHund** · 13.06.2004, 16:53

Original geschrieben von TobiaZ
das wurde im forum schon so oft werwähnt. *gähn*

*zurückgähn
nur leider hat sich Laire nicht die mühe gemacht, ...

das scheint aber schon abgefangen zu sein,

neulich gings noch ...

**Laire** · 13.06.2004, 17:28

Das ist meine momentane Seite, bei meinen ganzen Fragen die ich hier stelle geht es um den Neuaufbau meiner Seite und zwar ist das momentan:

http://www.ug-team.de/index2.php?path=include/start.php

und da geht das wohl noch....

**webINspirit** · 13.06.2004, 17:56

Habe auch eine frage dazu

Kann ich den include nicht für bestimmte Ordner sperren oder nur für bestimmte zulassen??

zb.:

PHP-Code:


if($dir == './geheim')

 {echo"Diese Seite kann leider nicht angezeigt werden"; }

else {

  include('$path') }

Habe nur noch keine Idee wie man es am besten verwirklichen kann.

**wahsaga** · 13.06.2004, 18:14

Re: Habe auch eine frage dazu

Original geschrieben von webINspirit
Habe nur noch keine Idee wie man es am besten verwirklichen kann.

mit den stringfunktionen überprüfen, ob der "richtige" ordner am anfang des pfades steht.

**eurohasi** · 13.06.2004, 19:00

Wenn mans nicht in einem array sondern in einer datenbank ab speichert -> übersichtlicher (schneller?!)

z.B.:
+---+------+----+
| ID | Name | Url |
+---+------+----+

PHP-Code:


$SQL = "SELECT * FROM site WHERE Name = '". $_GET['action'] ."'";

mysql_select_db($DB,$Conn);

$RS=mysql_query($SQL,$Conn);

while($zeile=@mysql_fetch_array($RS))

    {

    if(isset($zeile[URL])

        {

        include $zeile[URL];

        }

    }

man kann dies dann auch mit einem sicherheitssystem koppeln indem man in der Tabelle noch eine Spalte macht für wen diese Seite öffenbar ist ...
was denkt ihr?

[include] in der Browserzeile bestimmen