Post removed (X-No-Archive: yes)

Ich würde ganz spontan zu if_exist() greifen.

Michael

Michael Winklhofer schrieb:
> <?php
> $aufruf = $_GET["site"];
> if($aufruf == "")
> {
> include("start.php");
> }
> include($aufruf . ".php");
> ?>

DAS ist hart... Ruf mal auf mit ?site=http://www.php.net/downloads.php

Wenn du pech hast, siehst du jetzt die PHP-Downloadseite. Anstatt dieser
harmlosen Seite kann ein Angreifer jede andere beliebige Seite so
übergeben, die dann im Kontext deiner Seite ausgeführt wird.

Relativ einfach zu beheben ist dieses gigantisch, völlig unnötige
Sicherheitsloch (eher schon ein Krater), indem man nciht blind alles
includet, was angegeben wird.

<http://www.it-academy.cc/article/1470/Include+sicher+verwenden.html>

--
Blubb

Dirk Sohler schrieb:
> ?site=http://www.php.net/downloads.php

*ingrid*

Es muss natürlich ?aufruf=http://www.php.net/downloads.php sein :)

--
Blubb

Dirk Sohler wrote:
> Dirk Sohler schrieb:
>> ?site=http://www.php.net/downloads.php
> Es muss natürlich ?aufruf=http://www.php.net/downloads.php sein :)

nein, es muss sein:
| ?site=http://www.php.net/downloads
da das Script $_GET['site'] ausliest, und da das .php automatisch
dranhängt. :)

Gruß
Michael


--
Testscript für RegEchsen:
http://diesundas.funzt-halt.net/regextest.php

Dirk Sohler schrieb:

>DAS ist hart... Ruf mal auf mit ?site=http://www.php.net/downloads.php

Und über ein paar simultane Aufrufe von ?aufruf=index freut sich der Server
wahrscheinlich auch.

--
Wolfgang Fellger

Post removed (X-No-Archive: yes)

Michael Winklhofer schrieb:
> <?php
> $dateiname = "daten/" . $_GET["site"] . ".php";
> if(file_exists($dateiname))
> include $dateiname;
> else
> include "daten/404.php";
> ?>
>
> Das funktioniert auch wunderbar, allerdings habe ich jetzt das Problem
> das ich bei Aufruf von der index.php ohne Parameter immer die
> Fehlerseite (404.php) angezeigt bekomme... und ich schaffe es nicht den
> gewünschten Inhalt (start.php) dort anzeigen zu lassen.
>
> Noch einen Tip ausser php Volkshochschulkurse? *verzweifel*

Ok, ich wollte dir die Lösung präsentieren, aber wenn du nur einen Tipp
willst ...
Was steht denn in $_GET['site'], wenn kein Parameter übergeben wird?
Gibt es die Variable überhaupt?


MfG
Sebastian Wessel

--
Individualitaet ist ok, solange wir es alle zusammen tun
Major Frankling Burns (M*A*S*H)

Michael Winklhofer schrieb:

><?php
> $dateiname = "daten/" . $_GET["site"] . ".php";
> if(file_exists($dateiname))
> include $dateiname;
> else
> include "daten/404.php";
>?>

Immer noch nicht gut genug. "../index" funktioniert weiterhin.

Vorschlag:

if(empty($_GET['site']))
{
include 'start.php';
}
else
{
if(preg_match('/^[a-zA-Z0-9_]+$/', $_GET['site']) &&
file_exists($dateiname))
{
$dateiname = 'daten/' . $_GET['site'] . '.php';
include $dateiname;
}
else
{
header('HTTP/1.0 404 Not Found');
include 'daten/404.php';
}
}

Damit sind nur noch Dateinamen zulässig, die ausschließlich Buchstaben,
Zahlen und den Unterstrich enthalten. Der Versuch, irgendetwas anderes zu
übegeben, führt zum 404 (den man mit einem passenden Header kennzeichnen
sollte, sonst ärgert sich Google).

--
Wolfgang Fellger

Wolfgang Fellger macht die Ingrid und spricht:

> $dateiname = 'daten/' . $_GET['site'] . '.php';

Das hier muss natürlich noch vor das zweite if. Wer weitere Fehler findet,
möge sich melden ;-)

--
Wolfgang Fellger

Post removed (X-No-Archive: yes)

Michael Ziegler schrieb:
> nein, es muss sein:
> | ?site=http://www.php.net/downloads
> da das Script $_GET['site'] ausliest, und da das .php automatisch
> dranhängt. :)

Ähm, natürlich! $aufruf ists ja erst weiter unten :) Ändert aber nichts am
eigentlichen Problem des ungeprüften includens von Usereingaben.

*Kaffee trink*

--
Blubb