Wird lokale Datei included?

[Levis]

Servus!

Auf einer Homepage include ich die Dateien immer folgendermaßen: index.php?goto=home.php
Da ich gestern gelernt habe, dass das seeehr gefährlich ist, würde mich interessieren, wie ich prüfen kann, ob es sich bei dieser includeten Datei (in diesem Fall home.php) um eine lokale Datei handelt, d.h. ob sie auf meinem Server liegt und nicht auf einem fremden. Wie kann ich das machen?

Dankeschön im Voraus!

[loki]

Man kann doch soviel ich weiss, gar keine externen Dateien includen oder?

Sonst könnte man evtl. abfragen, ob die Datei existiert, und dann über den Pfad auf den Server kommen..

[Levis]

Zitat:

Zitat von loki

Man kann doch soviel ich weiss, gar keine externen Dateien includen oder?

Tja, das habe ich auch gedacht, bis mir StuckMojo gezeigt hat, wie schnell er damit die besagte Seite hacken kann...

Gibts nicht irgendeinen Befehl, um dies zu prüfen (lokale Datei)?

[Schneeschaufel]

Könnt ihr die Sache mit dem reinhacken etwas detailierter erläutern, bin grad hellhörig geworden .

[Levis]

Jan?

[Strogij]

Also, bei dir kann man natürlich leicht eigenen Code ausführen, aber nur dann, wenn ich http://meinedomain/falschedatei.txt inkludiere, evtl. kann ich beliebige Datei auf deinem Server inkludieren. Die Lösung wäre die Funktion basename(), die immer nur datei.endung ausgibt, egal was man davon schreibt. Allerdings besteht trotzdem das Problem/Gefahr, daß man eine beliebige Datei auf deinem Server inkludieren kann, also nicht nur home.php sondern vielleicht ../passwrd.inc.php... Daher empfehle ich einfach, daß du keine direkten Dateinamen an $_GET['goto'] übergibst, sondern Strings wie "home", die du später mit einem switch durchgehst, das wäre die sicherste Methode, denn falls jemand was Falsches eingibt, kannst du ihn per default an die richtige Seite leiten.
Mehr zum Thema Sicherheit gibt es hier.

[loki]

Misst, da ist mir wohl einer zuvorgekommen

Ich würds auch so machen, mit dem switch und dann keine dateinamen übergeben, sondern nur einen namen, mit dem dann durch den switchteil die richtige datei eingebunden wird..

[Levis]

hm...
Aber ich übergebe ab und zu auch z.b. sowas:
index.php?goto=rangliste.php&sort=geld&anzahl=6, wobei sort=geld&anzahl=6 Parameter von rangliste.php gehört.
hm.. muss mir mal was überlegen...

[loki]

Die weiteren zu übergebenden Variablen gehen dir ja dadurch nicht verloren, auch wenn du in ner Abfrage das goto änderst..

Du machst ja keine Weiterleitung..

[Strogij]

Ja, dann kannst du z.B. ein switch reinbauen, und nur Eingaben erlauben, die du haben willst:

PHP-Code:

switch ($_GET['goto'])
{
case "home.php":
$inkl = $_GET['goto'];
break;
case "gb.php":
$inkl = $_GET['goto'];
break;
default:
$inkl = "home.php";
break;
}
include($inkl); 


[Levis]

Da braucht doch ein Hacker nur seine "Angriffsdatei" so nennen...?
Reicht es nicht aus, einfach zu prüfen, ob die Datei ($goto) auf dem eigenem Server liegt?

[seb]

Ich find diese Switch-Konstruktionen zum Includen von Dateien ausgesprochen unelegant.
Erstens haben sie haben den Nachteil, dass man den Code für jede weitere zu includende Datei um einen neuen case erweitern muss, und zweitens wirken sie einfach anfängerhaft.
Warum, ist nicht ganz leicht zu erklären, ausserdem natürlich subjektiv und zuletzt für den Seitenbesucher von aussen sowieso nicht zu sehen, aber ich leg für mich selbst einfach Wert auf möglichst guten Code.

Ich würde statt des Switches den über $_GET hereingeholten Dateinamen darauf überprüfen, ob es sich um eine "erlaubte" Datei handelt, und sie anschließend einfach per include($_GET['einzubindendedatei'] einbinden.

Und die Überprüfung kann in wenigen Zeilen und absolut sicher erledigt werden. Dateien von fremden Servern kann man z.B. schon allein dadurch von vornherein aussperren, indem man keine Dateinamen bzw. Adressen erlaubt, die mit 'http://' beginnen und/oder Slashes enthalten.

Und wenn du alle zu includenden Dateien in ein eigenes Verzeichnis legst, den Pfad dorthin fest in den Include-Befehl schreibst und für den $_GET-Parameter nur 'einfache' Textzeichen und den Punkt erlaubst, können auch keine unerwünschten Dateien vom eigenen Webspace mehr eingebunden werden.

[Levis]

Sehr gut. Danke für den Tipp, seb! Ihr anderen natürlich auch Danke!

[seb]

Der Vollständigkeit halber:

Wenn man (warum auch immer) die Namen der erlaubten Dateien dennoch unbedingt ausdrücklich im Code festlegen möchte, kann man mit folgendem Code exakt das selbe wie mit dem häufig vorgeschlagenen switch bewirken:


$erlaubte_dateien = array('datei1', 'datei2', 'datei3', 'guestbook');
if (in_array($_GET['goto'], $erlaubte_dateien)) include($_GET['goto']);


Immernoch wesentlich kürzer als das switch.
Ich würd allerdings trotzdem die Variante mit dem seperaten Ordner für die include-Dateien + Dateinamenkontrolle vorziehen, da man damit wie gesagt neue Dateien einfach hinzukopieren kann, ohne am Sicherheitscheck etwas ändern zu müssen.

[Levis]

Zitat:

Zitat von seb

Immernoch wesentlich kürzer als das switch.
Ich würd allerdings trotzdem die Variante mit dem seperaten Ordner für die include-Dateien + Dateinamenkontrolle vorziehen, da man damit wie gesagt neue Dateien einfach hinzukopieren kann, ohne am Sicherheitscheck etwas ändern zu müssen.

So habe ich das Problem auch gelöst. Danke!