Mailinglisten-Archive

Re: [php] Dynamisches Web

Archiv Mailingliste php_(at)_infosoc.uni-koeln.de

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [php] Dynamisches Web

To: php_(at)_solix.wiso.Uni-Koeln.DE
Subject: Re: [php] Dynamisches Web
From: Christian von Toerne <toerne_(at)_magnetohydrodynamik.iam.uni-bonn.de>
Date: Mon, 17 May 1999 11:21:13 +0200
Content-Transfer-Encoding: 8bit
Organization: Universität Bonn
References: <373FDDDE.DAEC2C86_(at)_netuse.de>
Reply-To: toerne_(at)_magnetohydrodynamik.iam.uni-bonn.de

On Mon, 17 May 1999, you wrote:
>Ich nehme an, Du hast daran gedacht, "bereich/dateipfad/datei"
>auf so fiese Dinge wie ".." zu untersuchen und diese Komponenten
>ggf. auszuschließen bzw. eine Security Violation zu erzeugen und
>per Mail an den Admin zu senden? Sonst ist Dein Webserver nämlich
>in 15 Sekunden mein Webserver, wenn ich lustig bin.
>
>"bereich/dateipfad/datei" sind Variableninhalte, die Dein
>Programm aus dem Internet bezieht. Das Internet ist nicht
>vertrauenswürdig. Dein Programm darf solche Werte nur dann in
>eigene Variablen importieren, wenn es diese Werte auf
>Vertrauenswürdigkeit überprüft hat, d.h. wenn es die Werte
>dekontaminiert hat. Tut es das nicht -> Sicherheitsloch.

Würde mich mal interessieren, wie ihr das macht. Ich werte $HTTP_REFERER aus
und gucke nach, ob die absendende Seite bei mir auf dem Rechner lag. Wenn das
der Fall ist, nehme ich die Werte, sonst nicht.

Ich vermute aber (leider), daß es nicht schwer ist, den Referer zu spoofen. We
geht das besser?

Chris

Follow-Ups:
- Re: [php] Dynamisches Web
  - From: Kristian Köhntopp <kk_(at)_netuse.de>

References:
- Re: [php] Dynamisches Web
  - From: Kristian Köhntopp <kk_(at)_netuse.de>

Prev by Date: Re: [php] Dynamisches Web
Next by Date: Re: [php] Indiziertes Array !
Prev by thread: Re: [php] Dynamisches Web
Next by thread: Re: [php] Dynamisches Web
Index(es):
- Date
- Thread

Home | Main Index | Thread Index

php::bar PHP Wiki - Listenarchive