phpbar.de logo

Mailinglisten-Archive

Re: [php] Dynamisches Web
Archiv Mailingliste php_(at)_infosoc.uni-koeln.de

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [php] Dynamisches Web




Matthias Pigulla wrote:
> nav.php3 ist dabei der "Rahmen-Generator", und baut 
> in Abhängigkeit von "bereich" den notwendigen Rahmen auf. 
> An den notwendigen Stellen wird dann auch die 
> Unternavigation bereich/nav.php3 includiert (die als
> getrennte Datei vorliegt). Der Haupt-Content wird aus
> "bereich/dateipfad/datei" bezogen und ebenfalls includiert.

Nur mal so, weil es so oft falsch gemacht wird:

Ich nehme an, Du hast daran gedacht, "bereich/dateipfad/datei"
auf so fiese Dinge wie ".." zu untersuchen und diese Komponenten
ggf. auszuschließen bzw. eine Security Violation zu erzeugen und
per Mail an den Admin zu senden? Sonst ist Dein Webserver nämlich
in 15 Sekunden mein Webserver, wenn ich lustig bin.

"bereich/dateipfad/datei" sind Variableninhalte, die Dein
Programm aus dem Internet bezieht. Das Internet ist nicht
vertrauenswürdig. Dein Programm darf solche Werte nur dann in
eigene Variablen importieren, wenn es diese Werte auf
Vertrauenswürdigkeit überprüft hat, d.h. wenn es die Werte
dekontaminiert hat. Tut es das nicht -> Sicherheitsloch.

Kristian

-- 
Kristian Köhntopp, NetUSE Kommunikationstechnologie GmbH
Siemenswall, D-24107 Kiel, Germany, +49 431 386 436 00
Using PHP3? See our web development library at
http://phplib.shonline.de/ (GPL)

Home | Main Index | Thread Index

php::bar PHP Wiki   -   Listenarchive