RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

[PHP] include("files/".$datei); sicher?

https://www.rootforum.org/forum/viewtopic.php?t=20378

Page 1 of 1

[PHP] include("files/".$datei); sicher?

Posted: 2003-12-13 17:01
by chris2000
Ist include("files/".$datei); sicher? $datei wird mit GET übergeben. Dass man mit ../ aus files ausbrechen kann ist klar, dann können aber "nur" lokale Dateien eingebunden werden.

Gibt es auch eine Möglichkeit, Dateien über http einzubinden?

Re: [PHP] include("files/".$datei); sicher?

Posted: 2003-12-13 22:31
by arty
Es ist nicht wirklich sicher: http://de2.php.net/manual/de/function.include.php

Man kann es aber sicherlich recht sicher programmieren.

bye
arty

Re: [PHP] include("files/".$datei); sicher?

Posted: 2003-12-13 22:35
by jtb
chris2000: wenn du ../../ benutzen kannst, solltest du dir mal open_basedir anschauen. Man sollte seine Skripte natürlich auch ohne Bedarf für ein Sicherheitsnetz bauen, z.B. ein Ã?berprüfen des Dateinamens

Re: [PHP] include("files/".$datei); sicher?

Posted: 2003-12-14 00:51
by chris2000
mir ging es mit der frage jetzt eigentlich nur darum, ob ein Besucher trotz des vorgegebenen Pfads "files/" eine Datei über http einbinden kann. Aber das scheint wohl nicht möglich zu sein.

Dass die Zeile nicht sicher ist, ist klar.
All times are UTC+01:00
Page 1 of 1