Meine PHP-Seite ist unsicher!

**Mamphil**

Hi!

... oder du musst überprüfen, dass bestimmte Zeichen ('.', '/') nicht im Include-Pfad auftauchen dürfen. Wenn du das sauber machst, ist die Seite gleich um einiges sicherer.

Frohe Weihnachten!
Mamphil

**silentAMD**

hi!

ich hab mich ma hingesetzt und ne eigene möglichkeit aus beiden versionen gemacht, wenns was zu bemängeln oder verbessern gibt, sofort sagen!

markieren

Code:

			define("FAIL", "fehler");

$ordner   = "data";

$trenner  = " ... ";

$fileext  = ".txt";

$handle   = opendir($ordner);

  while ($file = readdir ($handle))

    if(($file != ".") && ($file != "..") && (!is_readable($file)))

      $possibles[count($possibles)] = ereg_replace($fileext, "", $file); //dateiendung löschen

closedir($handle);

$possibles = array_merge($possibles, array("hier", "weitere", "menüpunkte", "ohne dateiendung"));

if(!isset($loc))

  $loc  = "home";

if(!in_array($loc, $possibles))

  $loc  = FAIL;

if((isset($load)) && (!in_array($load, $possibles)))

  $load = FAIL;

//... hier noch html code fürs menu usw...

$filenamen = "$ordner/$loc$fileext";

if(!file_exists($filenamen))

  echo "<H3>Die Seite wurde nicht gefunden. Schade!</H3>";

else {

  echo "<H2>$loc</H2>\n";

  include($filenamen);

}

//... und wieder html code...

noch etwas: wie kann man das verein fachen (is ne beschissene möglichkeit muss ich zugeben...):

markieren

Code:

			
Du befindest dich hier: <?php

$locfail  = ($loc  == FAIL);

$loadfail = ($load == FAIL);

if($locfail)

  echo "[I]";

echo $trenner,$loc;

if($locfail)

  echo "[/I]";

if(isset($load)){

  if($loadfail)

    echo "[I]";

  echo "$trenner$load";

  if($loadfail)

    echo "[/I]";

}

?></P>

also ich meine, dass bei dem fall, dass $locfail TRUE ist, die $loc-variable (die dann den inhalt fehler hat) kursiv angezeigt wird. ich muss mit meiner möglichkeit 4 mal abfragen ob es nun so ist.
gibt es keine string-funktion, die das vereinfacht?

PLEASE HELP!!

**Mamphil**

Hi!

Zitat von silentAMD:

PLEASE HELP!!

Ja, mach ich. Aber erst, wenn ich den Code lesen kann.

Bitte einfach mal nach den

PEAR Coding Standards formatieren. Dann ist er schlichtweg übersichtlicher

Mamphil

**silentAMD**

@Mamphil: ich hoffe so ist's besser zu lesen...

(siehe oben)

**silentAMD**

lol..da hab ich glück gehabt (hoffe meine seite is jetzt sicher):

PC-Welt - PHP im Visier: Santy-Wurm weitet seinen Angriff aus

**Mamphil**

Hi!

1.) Guck dir mal die Seite

http://www.php-faq.de/ an.
2.) Interessant ist

http://www.php-faq.de/ch/ch-security.html und darin

http://www.php-faq.de/q/q-sicherheit-parameter.html
3.) Guter Code / Schlechter Code:

http://www.php-faq.de/ch/ch-code.html insbesondere

http://www.php-faq.de/q/q-stil-anfuehrungszeichen.html (ich persönlich verzichte weitestgehend auf die doppelten Anführungszeichen und setze praktisch alles in einfache)

4.) Vereinfachen kann man das ganze, indem du eine If-Konstruktion baust, in der der String mit den [i]-Tags zusammengebaut wird:

markieren

Code:

			if ($locfail)

    $output = '[i]'.$trenner.$loc.'[/i]';

else

    $output = $trenner.$loc;

echo $output;

// analog für load...

Mamphil

Meine PHP-Seite ist unsicher!

Re: Meine PHP-Seite ist unsicher!

Re: Meine PHP-Seite ist unsicher!

Re: Meine PHP-Seite ist unsicher!

Re: Meine PHP-Seite ist unsicher!

Re: Meine PHP-Seite ist unsicher!

Re: Meine PHP-Seite ist unsicher!

Forumregeln

silentAMD Registriert seit: 27. Sep 2003 203 Beiträge Turbo Delphi für Win32	#14 Re: Meine PHP-Seite ist unsicher! 27. Dez 2004, 17:06 @Mamphil: ich hoffe so ist's besser zu lesen... (siehe oben)
	Zitat

silentAMD Registriert seit: 27. Sep 2003 203 Beiträge Turbo Delphi für Win32	#15 Re: Meine PHP-Seite ist unsicher! 28. Dez 2004, 12:00 lol..da hab ich glück gehabt (hoffe meine seite is jetzt sicher): PC-Welt - PHP im Visier: Santy-Wurm weitet seinen Angriff aus
	Zitat