[PHP] include("files/".$datei); sicher?

Bash, Shell, PHP, Python, Perl, CGI
chris2000
Posts: 54
Joined: 2002-08-21 21:33

[PHP] include("files/".$datei); sicher?

Post by chris2000 »

Ist include("files/".$datei); sicher? $datei wird mit GET übergeben. Dass man mit ../ aus files ausbrechen kann ist klar, dann können aber "nur" lokale Dateien eingebunden werden.

Gibt es auch eine Möglichkeit, Dateien über http einzubinden?
arty
Userprojekt
Userprojekt
Posts: 729
Joined: 2002-06-12 10:11

Re: [PHP] include("files/".$datei); sicher?

Post by arty »

Es ist nicht wirklich sicher: http://de2.php.net/manual/de/function.include.php

Man kann es aber sicherlich recht sicher programmieren.

bye
arty
jtb
Posts: 599
Joined: 2002-08-18 16:41
Location: Darmstadt

Re: [PHP] include("files/".$datei); sicher?

Post by jtb »

chris2000: wenn du ../../ benutzen kannst, solltest du dir mal open_basedir anschauen. Man sollte seine Skripte natürlich auch ohne Bedarf für ein Sicherheitsnetz bauen, z.B. ein Ã?berprüfen des Dateinamens
chris2000
Posts: 54
Joined: 2002-08-21 21:33

Re: [PHP] include("files/".$datei); sicher?

Post by chris2000 »

mir ging es mit der frage jetzt eigentlich nur darum, ob ein Besucher trotz des vorgegebenen Pfads "files/" eine Datei über http einbinden kann. Aber das scheint wohl nicht möglich zu sein.

Dass die Zeile nicht sicher ist, ist klar.