phpbar.de logo

Mailinglisten-Archive

Re: [php] Dynamisches Web
Archiv Mailingliste php_(at)_infosoc.uni-koeln.de

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [php] Dynamisches Web



On Mon, 17 May 1999, you wrote:
>Ich nehme an, Du hast daran gedacht, "bereich/dateipfad/datei"
>auf so fiese Dinge wie ".." zu untersuchen und diese Komponenten
>ggf. auszuschließen bzw. eine Security Violation zu erzeugen und
>per Mail an den Admin zu senden? Sonst ist Dein Webserver nämlich
>in 15 Sekunden mein Webserver, wenn ich lustig bin.
>
>"bereich/dateipfad/datei" sind Variableninhalte, die Dein
>Programm aus dem Internet bezieht. Das Internet ist nicht
>vertrauenswürdig. Dein Programm darf solche Werte nur dann in
>eigene Variablen importieren, wenn es diese Werte auf
>Vertrauenswürdigkeit überprüft hat, d.h. wenn es die Werte
>dekontaminiert hat. Tut es das nicht -> Sicherheitsloch.

Würde mich mal interessieren, wie ihr das macht. Ich werte $HTTP_REFERER aus
und gucke nach, ob die absendende Seite bei mir auf dem Rechner lag. Wenn das
der Fall ist, nehme ich die Werte, sonst nicht.

Ich vermute aber (leider), daß es nicht schwer ist, den Referer zu spoofen. We
geht das besser?

Chris

Home | Main Index | Thread Index

php::bar PHP Wiki   -   Listenarchive