|
Re: Meine PHP-Seite ist unsicher!
Hi!
... oder du musst überprüfen, dass bestimmte Zeichen ('.', '/') nicht im Include-Pfad auftauchen dürfen. Wenn du das sauber machst, ist die Seite gleich um einiges sicherer. Frohe Weihnachten! Mamphil |
Re: Meine PHP-Seite ist unsicher!
hi!
ich hab mich ma hingesetzt und ne eigene möglichkeit aus beiden versionen gemacht, wenns was zu bemängeln oder verbessern gibt, sofort sagen! :wink:
Code:
define("FAIL", "fehler");
$ordner = "data"; $trenner = " ... "; $fileext = ".txt"; $handle = opendir($ordner); while ($file = readdir ($handle)) if(($file != ".") && ($file != "..") && (!is_readable($file))) $possibles[count($possibles)] = ereg_replace($fileext, "", $file); //dateiendung löschen closedir($handle); $possibles = array_merge($possibles, array("hier", "weitere", "menüpunkte", "ohne dateiendung")); if(!isset($loc)) $loc = "home"; if(!in_array($loc, $possibles)) $loc = FAIL; if((isset($load)) && (!in_array($load, $possibles))) $load = FAIL; //... hier noch html code fürs menu usw... $filenamen = "$ordner/$loc$fileext"; if(!file_exists($filenamen)) echo "<H3>Die Seite wurde nicht gefunden. Schade!</H3>"; else { echo "<H2>$loc</H2>\n"; include($filenamen); } //... und wieder html code... noch etwas: wie kann man das verein fachen (is ne beschissene möglichkeit muss ich zugeben...):
Code:
also ich meine, dass bei dem fall, dass $locfail TRUE ist, die $loc-variable (die dann den inhalt fehler hat) kursiv angezeigt wird. ich muss mit meiner möglichkeit 4 mal abfragen ob es nun so ist.Du befindest dich hier: <?php $locfail = ($loc == FAIL); $loadfail = ($load == FAIL); if($locfail) echo "[I]"; echo $trenner,$loc; if($locfail) echo "[/I]"; if(isset($load)){ if($loadfail) echo "[I]"; echo "$trenner$load"; if($loadfail) echo "[/I]"; } ?></P> gibt es keine string-funktion, die das vereinfacht? PLEASE HELP!! |
Re: Meine PHP-Seite ist unsicher!
Hi!
Zitat:
Bitte einfach mal nach den  PEAR Coding Standards formatieren. Dann ist er schlichtweg übersichtlicher :mrgreen: Mamphil |
Re: Meine PHP-Seite ist unsicher!
@Mamphil: ich hoffe so ist's besser zu lesen... :mrgreen: (siehe oben)
|
Re: Meine PHP-Seite ist unsicher!
lol..da hab ich glück gehabt (hoffe meine seite is jetzt sicher):
PC-Welt - PHP im Visier: Santy-Wurm weitet seinen Angriff aus |
Re: Meine PHP-Seite ist unsicher!
Hi!
1.) Guck dir mal die Seite http://www.php-faq.de/ an.2.) Interessant ist http://www.php-faq.de/ch/ch-security.html und darin http://www.php-faq.de/q/q-sicherheit-parameter.html3.) Guter Code / Schlechter Code: http://www.php-faq.de/ch/ch-code.html insbesondere http://www.php-faq.de/q/q-stil-anfuehrungszeichen.html (ich persönlich verzichte weitestgehend auf die doppelten Anführungszeichen und setze praktisch alles in einfache)4.) Vereinfachen kann man das ganze, indem du eine If-Konstruktion baust, in der der String mit den [i]-Tags zusammengebaut wird:
Code:
Mamphil
if ($locfail)
$output = '[i]'.$trenner.$loc.'[/i]'; else $output = $trenner.$loc; echo $output; // analog für load... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:03 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz