Mailinglisten-Archive |
Matthias Pigulla wrote: > nav.php3 ist dabei der "Rahmen-Generator", und baut > in Abhängigkeit von "bereich" den notwendigen Rahmen auf. > An den notwendigen Stellen wird dann auch die > Unternavigation bereich/nav.php3 includiert (die als > getrennte Datei vorliegt). Der Haupt-Content wird aus > "bereich/dateipfad/datei" bezogen und ebenfalls includiert. Nur mal so, weil es so oft falsch gemacht wird: Ich nehme an, Du hast daran gedacht, "bereich/dateipfad/datei" auf so fiese Dinge wie ".." zu untersuchen und diese Komponenten ggf. auszuschließen bzw. eine Security Violation zu erzeugen und per Mail an den Admin zu senden? Sonst ist Dein Webserver nämlich in 15 Sekunden mein Webserver, wenn ich lustig bin. "bereich/dateipfad/datei" sind Variableninhalte, die Dein Programm aus dem Internet bezieht. Das Internet ist nicht vertrauenswürdig. Dein Programm darf solche Werte nur dann in eigene Variablen importieren, wenn es diese Werte auf Vertrauenswürdigkeit überprüft hat, d.h. wenn es die Werte dekontaminiert hat. Tut es das nicht -> Sicherheitsloch. Kristian -- Kristian Köhntopp, NetUSE Kommunikationstechnologie GmbH Siemenswall, D-24107 Kiel, Germany, +49 431 386 436 00 Using PHP3? See our web development library at http://phplib.shonline.de/ (GPL)
php::bar PHP Wiki - Listenarchive