phpbar.de logo

Mailinglisten-Archive

[php] Dynamisches Web

[php] Dynamisches Web

Kristian =?iso-8859-1?Q?K=F6hntopp?= kk_(at)_netuse.de
Mon, 17 May 1999 11:14:06 +0200


Matthias Pigulla wrote:
> nav.php3 ist dabei der "Rahmen-Generator", und baut 
> in Abhängigkeit von "bereich" den notwendigen Rahmen auf. 
> An den notwendigen Stellen wird dann auch die 
> Unternavigation bereich/nav.php3 includiert (die als
> getrennte Datei vorliegt). Der Haupt-Content wird aus
> "bereich/dateipfad/datei" bezogen und ebenfalls includiert.

Nur mal so, weil es so oft falsch gemacht wird:

Ich nehme an, Du hast daran gedacht, "bereich/dateipfad/datei"
auf so fiese Dinge wie ".." zu untersuchen und diese Komponenten
ggf. auszuschließen bzw. eine Security Violation zu erzeugen und
per Mail an den Admin zu senden? Sonst ist Dein Webserver nämlich
in 15 Sekunden mein Webserver, wenn ich lustig bin.

"bereich/dateipfad/datei" sind Variableninhalte, die Dein
Programm aus dem Internet bezieht. Das Internet ist nicht
vertrauenswürdig. Dein Programm darf solche Werte nur dann in
eigene Variablen importieren, wenn es diese Werte auf
Vertrauenswürdigkeit überprüft hat, d.h. wenn es die Werte
dekontaminiert hat. Tut es das nicht -> Sicherheitsloch.

Kristian

-- 
Kristian Köhntopp, NetUSE Kommunikationstechnologie GmbH
Siemenswall, D-24107 Kiel, Germany, +49 431 386 436 00
Using PHP3? See our web development library at
http://phplib.shonline.de/ (GPL)


php::bar PHP Wiki   -   Listenarchive