|
Meine PHP-Seite ist unsicher!
hi,
ich habe mich nun nach langem html proggen zu php weitergetraut, und meine seite komplett auf php umgeschrieben. alles geht zwar um einiges einfacher mit php, nur jeder depp kann meine seiten verhunzen, weil ich alle möglichen weitergegebenen variablen direkt anzeigen lasse und jeder kann da mit seinem eigenen php-code alles verhunzen! wie kann man ALLE variablen die von einem dokument zum anderen weitergegeben werden, so formatieren, dass sie nur den html-code anzeigen (also z.b.
Code:
)?
$mod=get_html_translation_table(HTML_SPECIALCHARS);
if(isset($load)) $load=strtr($load, $mod); ich hab nämlich keine lust, alle variablen extra so umzuschreiben (1. wegen der größe der index.php und 2. wegen dem aufwand) PLEASE HELP!!!! PS: ich weisss schon selbst, warum ich meine homepage nicht angegeben habe... :wink: |
Re: Meine PHP-Seite ist unsicher!
Hi!
Was bitte willst du machen? Irgendwie verstehe ich dein Problem nicht richtig. Gib bitte mal ein bisschen mehr Code von deiner Seite bzw. den Link zu der Seite, mit der du das Problem hast. Mamphil |
Re: Meine PHP-Seite ist unsicher!
naja hier en bissel code:
<?php echo "<H2>$loc</H2>\n"; //übergebende variable ist §loc $filenamen="data/$loc.inc.php"; include($filenamen); ?> (also stark vereinfacht) aber so in etwa ist es un dan auf der page mit noch mehr eigenschaften für texte usw... also mein problem: für $loc kann man beliebigen html-code und php-code eintragen und die seite verändern und auf geschützten inhalt zugreifen... das will ich nicht. wie kann man $loc und alle anderen variablen zu stinknormalem html code machen? also wie ... zu … ihr wisst wahrscheinlich schon was ich meine? PLEASE HELP |
Re: Meine PHP-Seite ist unsicher!
htmlspecialchars($variable)
|
Re: Meine PHP-Seite ist unsicher!
hi!
thanx für deine einfachere lösung Melfin! (hab sie allerdings noch net ausprobiert... :oops: ) gibt es keine lösung, einfach ALLE variablen so zu formatieren?? PLEASE HELP!! |
Re: Meine PHP-Seite ist unsicher!
Hi!
Code:
Du musst dann allerdings immer mit $_REQUEST['deinVariablenName'] arbeiten (?)
// Alle $_REQUEST-Variabeln umformatieren:
foreach ($_REQUEST as $name => $value) $_REQUEST[$name] = htmlspecialchars($value); Mamphil |
Re: Meine PHP-Seite ist unsicher!
naja...aber ich erspar mir damit fast nix, weil ich ja alle variablen in ein array schreiben muss oder so...aber gefällt mir schon besser als alles einzeln zu formatieren...
THANX!!!! |
Re: Meine PHP-Seite ist unsicher!
Nein, das Array $_REQUEST existiert schon. Es enthält alle Variablen, die per POST (z. B. über Formulare) oder per GET (in der URL) übergeben werden.
Mamphil |
Re: Meine PHP-Seite ist unsicher!
Hi,
dem User den includepath anzuvertrauen halte ich für grob fahrlässig :( Wenn der nun index.php?loc=../../../../../etc/passwd aufruft? Definier lieber ne Tabelle mit allen möglichen sicheren Includepaths und überprüfe die dann, zb so:
Code:
cu
$valid_paths = array("index","news","content","guestbook");
$valid = false; foreach ($valid_paths as $vp) if ($vp == $_GET['loc']) // das erspart dir die (unsichere) Einstellung register_globals = on $valid = true; if (!$valid) // Hier evtl noch um einen Logeintrag ergänzen, falls du von solchen Versuchen was mitbekommen willst Die("Dies ist kein gueltiger Pfad!"); include($loc.".php"); |
Re: Meine PHP-Seite ist unsicher!
... oh sorry jetzt weiss ich was du meinst... da kann ja dann jeder benutzer auf mein gästebuch und gesicherte daten zugreifen... das muss ich schnellstens lösen...
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:22 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz