phpbar.de logo

Mailinglisten-Archive

[php] Dynamisches Web

[php] Dynamisches Web

Christian von Toerne toerne_(at)_magnetohydrodynamik.iam.uni-bonn.de
Mon, 17 May 1999 11:21:13 +0200


On Mon, 17 May 1999, you wrote:
>Ich nehme an, Du hast daran gedacht, "bereich/dateipfad/datei"
>auf so fiese Dinge wie ".." zu untersuchen und diese Komponenten
>ggf. auszuschließen bzw. eine Security Violation zu erzeugen und
>per Mail an den Admin zu senden? Sonst ist Dein Webserver nämlich
>in 15 Sekunden mein Webserver, wenn ich lustig bin.
>
>"bereich/dateipfad/datei" sind Variableninhalte, die Dein
>Programm aus dem Internet bezieht. Das Internet ist nicht
>vertrauenswürdig. Dein Programm darf solche Werte nur dann in
>eigene Variablen importieren, wenn es diese Werte auf
>Vertrauenswürdigkeit überprüft hat, d.h. wenn es die Werte
>dekontaminiert hat. Tut es das nicht -> Sicherheitsloch.

Würde mich mal interessieren, wie ihr das macht. Ich werte $HTTP_REFERER aus
und gucke nach, ob die absendende Seite bei mir auf dem Rechner lag. Wenn das
der Fall ist, nehme ich die Werte, sonst nicht.

Ich vermute aber (leider), daß es nicht schwer ist, den Referer zu spoofen. We
geht das besser?

Chris


php::bar PHP Wiki   -   Listenarchive