Ist include("files/".$datei); sicher? $datei wird mit GET übergeben. Dass man mit ../ aus files ausbrechen kann ist klar, dann können aber "nur" lokale Dateien eingebunden werden.
Gibt es auch eine Möglichkeit, Dateien über http einzubinden?
[PHP] include("files/".$datei); sicher?
-
arty
- Userprojekt
- Posts: 729
- Joined: 2002-06-12 10:11
Re: [PHP] include("files/".$datei); sicher?
Es ist nicht wirklich sicher: http://de2.php.net/manual/de/function.include.php
Man kann es aber sicherlich recht sicher programmieren.
bye
arty
Man kann es aber sicherlich recht sicher programmieren.
bye
arty
-
jtb
- Posts: 599
- Joined: 2002-08-18 16:41
- Location: Darmstadt
Re: [PHP] include("files/".$datei); sicher?
chris2000: wenn du ../../ benutzen kannst, solltest du dir mal open_basedir anschauen. Man sollte seine Skripte natürlich auch ohne Bedarf für ein Sicherheitsnetz bauen, z.B. ein Ã?berprüfen des Dateinamens
-
chris2000
- Posts: 54
- Joined: 2002-08-21 21:33
Re: [PHP] include("files/".$datei); sicher?
mir ging es mit der frage jetzt eigentlich nur darum, ob ein Besucher trotz des vorgegebenen Pfads "files/" eine Datei über http einbinden kann. Aber das scheint wohl nicht möglich zu sein.
Dass die Zeile nicht sicher ist, ist klar.
Dass die Zeile nicht sicher ist, ist klar.