Meine PHP-Seite ist unsicher!

**silentAMD**

hi,

ich habe mich nun nach langem html proggen zu php weitergetraut, und meine seite komplett auf php umgeschrieben. alles geht zwar um einiges einfacher mit php, nur jeder depp kann meine seiten verhunzen, weil ich alle möglichen weitergegebenen variablen direkt anzeigen lasse und jeder kann da mit seinem eigenen php-code alles verhunzen!

wie kann man ALLE variablen die von einem dokument zum anderen weitergegeben werden, so formatieren, dass sie nur den html-code anzeigen (also z.b.

markieren

Code:

			$mod=get_html_translation_table(HTML_SPECIALCHARS);

if(isset($load)) $load=strtr($load, $mod);

)?

ich hab nämlich keine lust, alle variablen extra so umzuschreiben (1. wegen der größe der index.php und 2. wegen dem aufwand)

PLEASE HELP!!!!

PS: ich weisss schon selbst, warum ich meine homepage nicht angegeben habe...

**Mamphil**

Hi!

Was bitte willst du machen? Irgendwie verstehe ich dein Problem nicht richtig. Gib bitte mal ein bisschen mehr Code von deiner Seite bzw. den Link zu der Seite, mit der du das Problem hast.

Mamphil

**silentAMD**

naja hier en bissel code:

<?php
echo "<H2>$loc</H2>\n"; //übergebende variable ist §loc
$filenamen="data/$loc.inc.php";
include($filenamen);
?>

(also stark vereinfacht) aber so in etwa ist es un dan auf der page mit noch mehr eigenschaften für texte usw...

also mein problem: für $loc kann man beliebigen html-code und php-code eintragen und die seite verändern und auf geschützten inhalt zugreifen... das will ich nicht.

wie kann man $loc und alle anderen variablen zu stinknormalem html code machen? also wie ... zu &#133 ihr wisst wahrscheinlich schon was ich meine?

PLEASE HELP

**Meflin**

htmlspecialchars($variable)

**silentAMD**

hi!

thanx für deine einfachere lösung Melfin! (hab sie allerdings noch net ausprobiert...

)

gibt es keine lösung, einfach ALLE variablen so zu formatieren??

PLEASE HELP!!

**Mamphil**

Hi!

markieren

Code:

			// Alle $_REQUEST-Variabeln umformatieren:

foreach ($_REQUEST as $name => $value)

  $_REQUEST[$name] = htmlspecialchars($value);

Du musst dann allerdings immer mit $_REQUEST['deinVariablenName'] arbeiten (?)

Mamphil

**silentAMD**

naja...aber ich erspar mir damit fast nix, weil ich ja alle variablen in ein array schreiben muss oder so...aber gefällt mir schon besser als alles einzeln zu formatieren...

THANX!!!!

**Mamphil**

Nein, das Array $_REQUEST existiert schon. Es enthält alle Variablen, die per POST (z. B. über Formulare) oder per GET (in der URL) übergeben werden.

Mamphil

**sECuRE**

Hi,

dem User den includepath anzuvertrauen halte ich für grob fahrlässig

Wenn der nun index.php?loc=../../../../../etc/passwd aufruft?
Definier lieber ne Tabelle mit allen möglichen sicheren Includepaths und überprüfe die dann, zb so:

markieren

Code:

			$valid_paths = array("index","news","content","guestbook");

$valid = false;

foreach ($valid_paths as $vp)

 if ($vp == $_GET['loc']) // das erspart dir die (unsichere) Einstellung register_globals = on

  $valid = true;

if (!$valid) // Hier evtl noch um einen Logeintrag ergänzen, falls du von solchen Versuchen was mitbekommen willst

 Die("Dies ist kein gueltiger Pfad!");

include($loc.".php");

cu

**silentAMD**

... oh sorry jetzt weiss ich was du meinst... da kann ja dann jeder benutzer auf mein gästebuch und gesicherte daten zugreifen... das muss ich schnellstens lösen...

Meine PHP-Seite ist unsicher!

Meine PHP-Seite ist unsicher!

Re: Meine PHP-Seite ist unsicher!

Re: Meine PHP-Seite ist unsicher!

Re: Meine PHP-Seite ist unsicher!

Re: Meine PHP-Seite ist unsicher!

Re: Meine PHP-Seite ist unsicher!

Re: Meine PHP-Seite ist unsicher!

Re: Meine PHP-Seite ist unsicher!

Re: Meine PHP-Seite ist unsicher!

Re: Meine PHP-Seite ist unsicher!

Forumregeln

Meflin Registriert seit: 21. Aug 2003 4.856 Beiträge	#4 Re: Meine PHP-Seite ist unsicher! 23. Dez 2004, 13:15 htmlspecialchars($variable) Leo S. https://github.com/leoschweizer
	Zitat

silentAMD Registriert seit: 27. Sep 2003 203 Beiträge Turbo Delphi für Win32	#5 Re: Meine PHP-Seite ist unsicher! 23. Dez 2004, 16:09 hi! thanx für deine einfachere lösung Melfin! (hab sie allerdings noch net ausprobiert... ) gibt es keine lösung, einfach ALLE variablen so zu formatieren?? PLEASE HELP!!
	Zitat

silentAMD Registriert seit: 27. Sep 2003 203 Beiträge Turbo Delphi für Win32	#7 Re: Meine PHP-Seite ist unsicher! 23. Dez 2004, 17:34 naja...aber ich erspar mir damit fast nix, weil ich ja alle variablen in ein array schreiben muss oder so...aber gefällt mir schon besser als alles einzeln zu formatieren... THANX!!!!
	Zitat

Mamphil Registriert seit: 17. Jul 2004 Ort: Garching b. München 149 Beiträge Delphi 7 Professional	#8 Re: Meine PHP-Seite ist unsicher! 23. Dez 2004, 18:06 Nein, das Array $_REQUEST existiert schon. Es enthält alle Variablen, die per POST (z. B. über Formulare) oder per GET (in der URL) übergeben werden. Mamphil The laws of physics are the canvas God laid down on which to paint his masterpiece. “Leonardo Vetra” in Dan Brown’s “Angels & Demons”
	Zitat

silentAMD Registriert seit: 27. Sep 2003 203 Beiträge Turbo Delphi für Win32	#10 Re: Meine PHP-Seite ist unsicher! 23. Dez 2004, 18:24 ... oh sorry jetzt weiss ich was du meinst... da kann ja dann jeder benutzer auf mein gästebuch und gesicherte daten zugreifen... das muss ich schnellstens lösen...
	Zitat