Ist include("files/".$datei); sicher? $datei wird mit GET übergeben. Dass man mit ../ aus files ausbrechen kann ist klar, dann können aber "nur" lokale Dateien eingebunden werden.
Gibt es auch eine Möglichkeit, Dateien über http einzubinden?
[PHP] include("files/".$datei); sicher?
Re: [PHP] include("files/".$datei); sicher?
Es ist nicht wirklich sicher: http://de2.php.net/manual/de/function.include.php
Man kann es aber sicherlich recht sicher programmieren.
bye
arty
Man kann es aber sicherlich recht sicher programmieren.
bye
arty
Re: [PHP] include("files/".$datei); sicher?
chris2000: wenn du ../../ benutzen kannst, solltest du dir mal open_basedir anschauen. Man sollte seine Skripte natürlich auch ohne Bedarf für ein Sicherheitsnetz bauen, z.B. ein Ã?berprüfen des Dateinamens
Re: [PHP] include("files/".$datei); sicher?
mir ging es mit der frage jetzt eigentlich nur darum, ob ein Besucher trotz des vorgegebenen Pfads "files/" eine Datei über http einbinden kann. Aber das scheint wohl nicht möglich zu sein.
Dass die Zeile nicht sicher ist, ist klar.
Dass die Zeile nicht sicher ist, ist klar.