Autor |
Nachricht |
escaPe
Threadersteller
Dabei seit: 10.09.2007
Ort: <? include("home.htm") ?>
Alter: 112
Geschlecht:
|
Verfasst Mi 09.04.2008 17:36
Titel [PHP] inlcude() |
|
|
eine kurze frage:
ist dieser code sicher?:
Code: | <body>
<? include ("navi.php"); ?>
<div id="Inhalt">
Inhalt Seite 2
</div>
</body> |
man hört ja hier und dort das man sein include sicher soll.
Bin zurzeit totaler php anfänger und wollt wissen wie es
in dem oberen Fall aussieht.
mfg escape
|
|
|
|
|
Ivan
Dabei seit: 17.04.2006
Ort: -
Alter: -
Geschlecht:
|
Verfasst Mi 09.04.2008 17:58
Titel
|
|
|
Hallo,
sofern die navi.php sicher ist, dürfte dein Code sicher sein.
Gruß
Ivan
Zuletzt bearbeitet von Ivan am Mi 09.04.2008 17:58, insgesamt 1-mal bearbeitet
|
|
|
|
|
Anzeige
|
|
|
Backware
Dabei seit: 09.12.2004
Ort: bei Köln
Alter: 38
Geschlecht:
|
Verfasst Mi 09.04.2008 18:09
Titel Re: [PHP] inlcude() |
|
|
escaPe hat geschrieben: | eine kurze frage:
ist dieser code sicher?:
Code: | <body>
<? include ("navi.php"); ?>
<div id="Inhalt">
Inhalt Seite 2
</div>
</body> |
man hört ja hier und dort das man sein include sicher soll.
Bin zurzeit totaler php anfänger und wollt wissen wie es
in dem oberen Fall aussieht.
mfg escape |
ich würd dir von deinen shorttags abraten (<?). allein schon im bezug auf die Interoperabilität deiner scripts. zudem was ist, wenn die configuration geändert wird? dann hast du n dickes problem
ansonsten halte ich es für unnötig die navigation in allen dateien einzubinden viel lieber sollten alle dateien in eine datei eingebunden werden.
in sachen sicherheit ist an einem normalem statischem include nicht viel zu verändern.. vielleicht ein @ davor, falls es wirklich mal zu einem fehler beim include kommt nicht deine ordnerstruktur bzw. deine verzeichnisstruktur einsichtig ist durch einen fehler...
Zuletzt bearbeitet von Backware am Mi 09.04.2008 18:10, insgesamt 1-mal bearbeitet
|
|
|
|
|
tacker
Dabei seit: 22.03.2002
Ort: Trondheim, Norwegen
Alter: 43
Geschlecht:
|
Verfasst Do 10.04.2008 08:17
Titel Re: [PHP] inlcude() |
|
|
escaPe hat geschrieben: | ist dieser code sicher?: |
Grundsätzlich ja.
|
|
|
|
|
aUDIOfREAK
Dabei seit: 04.04.2002
Ort: Ansbach
Alter: 44
Geschlecht:
|
Verfasst Do 10.04.2008 09:46
Titel
|
|
|
unsicher wird das ganze nur, wenn parameter mit im spiel sind (also z.b. usereingaben wie eine ausgewählte id, anhand der du eine andere datei includest). diese parameter solltest du dann auf jeden fall immer prüfen und auch die include-datei so definieren, das nur includes ab dem server-root zugelassen werden. über manipulationen könnte man nämlich so ein script auf einem fremden server aufrufen und das dann auf deiner kiste ausführen und damit schadcode einschleusen...
zum thema sicherheit bei php kann ich ein buch empfehlen:
http://www.amazon.de/PHP-Sicherheit-PHP-MySQL-Webanwendungen-sicher-programmieren/dp/3898644502
da steht sehr viel interessantes rund um das thema sicherheit und es wird z.b. auch erklärt, wie man headermanipulationen oder sql-injections vornimmt. daran kann man dann lernen und seinen eigenen code auf sicherheitslücken überprüfen.
|
|
|
|
|
rob
Dabei seit: 11.12.2003
Ort: ~/
Alter: 46
Geschlecht:
|
Verfasst Do 10.04.2008 23:34
Titel
|
|
|
aUDIOfREAK hat eigentlich schon alles gesagt, was wichtig ist.
Aber ich schreib trotzdem noch mal was und geb dir ein paar eventuell interessante Links.
In deinem Fall kann es gar kein Sicherheitsproblem geben (sofern es keine Schwachstellen im eingebundenen Script gibt).
Hier wird eine Datei direkt eingebunden. Kein Problem. Anders sieht es aus, wenn eine Datei eingebunden werden soll, die erst zur Laufzeit bestimmt wird. Dann muß man in jedem Fall Vorkehrungen zur Sicherheit treffen.
Zur sicheren Programmierung sind natürlich bereits viele dicke Bücher geschrieben worden.
Um dir einen guten Überblick zur sicheren PHP-Programmierung zu verschaffen und um dir über die häufigsten Gefahren/Schwachstellen klarzuwerden, kannst du mal einen Blick auf das folgende Howto werfen:
Linux-Pool Physik: Sicherheit und PHP
include() wird dort auch erwähnt.
Ansonsten, auch noch interessant: PHP-Sicherheit: include() absichern
Aber wie bereits gesagt: In deinem Fall gibt es dort kein Problem, weil dort weder Usereingaben an include() übergeben werden noch sonstwas passiert.
Zuletzt bearbeitet von rob am Do 10.04.2008 23:36, insgesamt 1-mal bearbeitet
|
|
|
|
|
escaPe
Threadersteller
Dabei seit: 10.09.2007
Ort: <? include("home.htm") ?>
Alter: 112
Geschlecht:
|
Verfasst Fr 11.04.2008 17:56
Titel
|
|
|
okay Danke für die ganzen Antworten und Tipps...
Das Buch werd ich meinem Chef mal zu Gemüt führen das er mir das mal besorgt.
Zuletzt bearbeitet von escaPe am Fr 11.04.2008 17:56, insgesamt 1-mal bearbeitet
|
|
|
|
|
|
|
|