mediengestalter.info
FAQ :: Mitgliederliste :: MGi Team

Willkommen auf dem Portal für Mediengestalter

Aktuelles Datum und Uhrzeit: Do 08.12.2016 19:19 Benutzername: Passwort: Auto-Login

Thema: PHP - Variablenübergabe (in Links ohne "&") vom 19.08.2004


Neues Thema eröffnen   Neue Antwort erstellen MGi Foren-Übersicht -> Programmierung -> PHP - Variablenübergabe (in Links ohne "&")
Seite: Zurück  1, 2, 3, 4
Autor Nachricht
Waschbequen
Account gelöscht


Ort: -

Verfasst Mo 30.08.2004 11:33
Titel

Antworten mit Zitat Zum Seitenanfang

Das ist leider etwas zu naiv... schau mal in die aktuelle c't - die haben so manche Überraschung erlebt, bei ihrem Test von Webspace für 10 EUR. Und das nicht beim Provider X aus Buxtehude sondern auch bei HostEurope... und davon mal ganz abgesehen: Includes etc. gehören einfach nicht in die URL, vollkommen egal, ob damit selbst nen Loch aufgerissen wird, oder nicht - es geht den User nix an.
 
Account gelöscht


Ort: -
Alter: -
Verfasst Mo 30.08.2004 11:37
Titel

Antworten mit Zitat Zum Seitenanfang

Wir hatten jetzt den Fall, dass ein XML-Parser immer mal willkürlich Validierungsfehler auf übergebende Daten lieferte. Nach 3 (!) Tagen des Rumsuchens wurde klar, dass die Einstellungen für die Magic Quotes Runtime mal ein, und dann wieder ausgeschaltet waren, das allerdings total willkürlich.

Dann wurde uns bewußt, dass der Provider jedem Skript es erlaubte, diese Einstellungen global je nach Gusto zu ändern. D.h, wenn XYZ ne Webseite aufruft, wurden die Magic Quotes ausgeschaltetet, wenn Benutzer ABC ein anderes Skript aufrieft, wurden sie wieder eingeschaltet.

Das nur als Beispiel, wie seltsam die Leute teilweise ihre Server konfigurieren.
 
Anzeige
Anzeige
karmacoder

Dabei seit: 15.04.2002
Ort: Fürth
Alter: 35
Geschlecht: Männlich
Verfasst Mo 30.08.2004 12:38
Titel

Antworten mit Zitat Zum Seitenanfang

rob hat geschrieben:
um noch mal hier rauf zurückzukommen:
Zitat:
index.php?projekt=../../../../../../../../../../../../../etc/passwd
und bumm hab ich die liste aller user mit ihren md5 passwörtern und kann mir die in ruhe auf meinem rechnernetz knacken.

Nein! So einfach wird es normalerweise nie sein.


das es nicht so sein sollte sag ich ja auch *zwinker* aber es ist wirklich oft so.
php kann man auch den zugriff nur auf das userverzeichniss erlauben, dann kann man ähnlich wie chroot nicht mal auf die möglichen anderen benutzer des servers zugreifen.
ich hab selber passwd files im duzend aus webservern ausgelesen.
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
beeviZ

Dabei seit: 30.09.2002
Ort: Dortmund
Alter: 23
Geschlecht: Männlich
Verfasst Fr 03.09.2004 15:39
Titel

Antworten mit Zitat Zum Seitenanfang

ok, weiter gehts. hehe...

sagen wir ich will über

index.php?seite=kontakt
die datei kontakt.php reinladen... um das mit diesem get-unsicherheits-zeugs in der adressleiste zu umgehen mach ich ne if-abfrage raus. und zwar:

Code:

<?
if ($seite == 'kontakt') {include("kontakt.php");}
else (include("home.php");}
?>

mit link <a href="index.php?kontakt">kontakt</a>

auf diese Methode dürfte doch niemand an meine passwortdateien rankommen, oder?

ich hoffe ihr seid noch nicht alle im wochenende Meine Güte! Grins
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
Account gelöscht


Ort: -
Alter: -
Verfasst Fr 03.09.2004 16:55
Titel

Antworten mit Zitat Zum Seitenanfang

Ich würde sagen, "nein". Zusätzliche Sicherheit bietet hier vielleicht noch das "verstecken" der Parameterübergabe, indem du bspw. kontakt.html aufrufst, diese URL mittels mod_rewrite parst und entsprechend auf dein Skript weiterleitest.

Sowas ist natürlich extrem cool, wenn du kategorisierte Inhalte in einer Datenbank hinterlegst, und quasi eine Tabelle als Inhaltsverzeichnis hinterlegst (Oder den "Dateinamen" direkt in der Contenttabelle hinterlegst).


Somit wird aus "http://www.hanswurst.de/kontakt.html" eine Abfrage nach dem motto

Code:
$query="SELECT a.text, a.ueberschrift FROM content AS a
INNER JOIN toc AS b ON a.id=b.content_id
WHERE b.pagetitle='".$_GET["seite"]."';";


...nur mal so auf die Schnelle angedacht. Sicherheitslücken sehe ich hier auch nicht direkt (Oder gibts da eine Möglichkeit, sich als MySQL-Rootuser anzumelden!? * Ööhm... ja? * Grins)

Andererseits gilt wie immer: "Was ist schon sicher!? Die Rente is sischa..."
 
beeviZ

Dabei seit: 30.09.2002
Ort: Dortmund
Alter: 23
Geschlecht: Männlich
Verfasst Fr 03.09.2004 21:32
Titel

Antworten mit Zitat Zum Seitenanfang

*g* ich werds nie lernen.
vielleicht sollt ich meine finger einfach von php lassen. hehe.
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
 
Ähnliche Themen hilfe... variablenübergabe von flash nach php????
[PHP] Links im Fenster Öffnen
Variablenübergabe
php: besuchte links anders darstellen
Mit PHP Links nacheinander aufrufen (Per ID)
variablenübergabe in formularen
Neues Thema eröffnen   Neue Antwort erstellen Seite: Zurück  1, 2, 3, 4
MGi Foren-Übersicht -> Programmierung


Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst an Umfragen in diesem Forum nicht mitmachen.