Mailinglisten-Archive |
On Mon, 17 May 1999, you wrote: >Ich nehme an, Du hast daran gedacht, "bereich/dateipfad/datei" >auf so fiese Dinge wie ".." zu untersuchen und diese Komponenten >ggf. auszuschließen bzw. eine Security Violation zu erzeugen und >per Mail an den Admin zu senden? Sonst ist Dein Webserver nämlich >in 15 Sekunden mein Webserver, wenn ich lustig bin. > >"bereich/dateipfad/datei" sind Variableninhalte, die Dein >Programm aus dem Internet bezieht. Das Internet ist nicht >vertrauenswürdig. Dein Programm darf solche Werte nur dann in >eigene Variablen importieren, wenn es diese Werte auf >Vertrauenswürdigkeit überprüft hat, d.h. wenn es die Werte >dekontaminiert hat. Tut es das nicht -> Sicherheitsloch. Würde mich mal interessieren, wie ihr das macht. Ich werte $HTTP_REFERER aus und gucke nach, ob die absendende Seite bei mir auf dem Rechner lag. Wenn das der Fall ist, nehme ich die Werte, sonst nicht. Ich vermute aber (leider), daß es nicht schwer ist, den Referer zu spoofen. We geht das besser? Chris
php::bar PHP Wiki - Listenarchive