LinkBack URL
About LinkBacks
Zitierenimho ist das in ordnung
Guten Morgen zusammen
Ich frage mich, ob das einigermaßen sicher ist ... kann da mal bitte jemand drüberschauen? Meine Seiten baue ich i.d.R so zusammen und habe mir bisher wenig Gedanken über die Sicherheit gemacht. Bisher ...
#Ein Link in der Navi sieht so aus:
# Die Variable übernehme ich so aus der URL:Code:http://www.domain.de/index.php?content=unternehmen
#und ordne dann so den entsprechenden Content zu:PHP-Code:$inhalt = $_GET["content"];
if($inhalt=="")
$inhalt="home";
PHP-Code:switch($inhalt)
{
case "seite_a":
include 'seite_a.php';
break;
~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~
case "seite_z":
include 'seite_z.php';
break;
default: include '404.php';
}
ist es möglich hier irgendetwas von aussen zu manipulieren?
sollte ich etwas ändern?
Innerhalb des elseif-Zweiges wird elseif als if und else als else gesehen.
** fototapete drucken**
imho ist das in ordnung
Java != JavaScript
"He who makes a beast of himself gets rid of the pain of being a man."
Dr. Johnson
Dem würde ich mich anschliessen. Sollte das unsicher sein dann liegt 'ne menge Arbeit vor mir, da ich quasi auf die exakt gleiche Weise meine Navigationen aufbaueZitat von GodfatherDeluxe
#.Viele Grüße - Andreas
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
PHP Tutorials und kostenlose Scripts gibt's bei phpBuddy.eu
Follow phpBuddy on Twitter
LTFB - anfängerfreundliche Tutorials
.
Macht das nicht jeder so? Ich nämlich auch
Denke das passt
Du gehst von konstanten Werten für den übergebenen Parameter aus und ordnest jeweils eine zu inkludierende Datei zu. Das ist in Ordnung.
Hab schon Sachen gesehen, wo Leute die Include-Datei direkt namentlich angeben im Parameter. Das öffnet natürlich alle Tore, denn da lässt sich auch ein Pfad mit unterbringen
JoSsiF
// jsfnet.de
danke für die Antworten ...
Ich konnte mir einfach nicht vorstellen, das da jemand ein script einschleusen kann ... aber man ließt täglich von Sicherheitslücken hier und da.
Innerhalb des elseif-Zweiges wird elseif als if und else als else gesehen.
** fototapete drucken**
Ich mach es eigentlich auch immer auf diese Weise - ob man da nun nen switch/case hinbastelt oder das ganze über ne if/ elseif/ else löst ist dann ja eigentlich auch egal ..
Man könnte vlt. noch am Anfang den übergebenen String aus der URL nach Code durchsuchen lassen bzw. pruefen ob Zeichen von A-Za-z0-9 darin enthalten sind..
Gruss,
SteffenR
selbstverständlich ist das sicher, eine Gefahr besteht nur, wenn man so etwas schreibt:
include($_GET['seite'].'.php');
also ungeprüft inkludiert.
TYPO3 · MySQLDumper · dislabs
·
manche Mühlen mahlen schneller ...
"Ich habe Rücken"
Horst Schlämmer
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)