nicht angemeldet
(SSI) Pfad in URL übergeben
Hallo!
Ich möchte einige Pfade meiner HP mit SSI in URLs übergeben. Muss ich die Slashes mit %2F codieren oder kann ich die stehen lassen?
Danke, Markus
-
Halihallo Markus
Ich möchte einige Pfade meiner HP mit SSI in URLs übergeben. Muss ich die Slashes mit %2F codieren oder kann ich die stehen lassen?
depends... Was willst du wirklich tun? - Wo stehen die extrahierten Daten später?
Wenn die Pfade als Parameter an die URL nach dem '?' angehängt werden, ja. Und nicht
nur die Slashes werden kodiert. Informiere dich über URL-Encode und -Escaping.Viele Grüsse
Philipp
-
Um genau zu sein möchte ich Pfadangaben zu Bildern übergeben. Ein Beispiel:
http://www.name.de/neu.shtml?pic1=ordner1%2Fordner2%2Fbild1.jpg&pic2=ordner1%2Fordner2%2Fbild2.jpg
Wäre das richtig?
-
Halihallo Markus
Um genau zu sein möchte ich Pfadangaben zu Bildern übergeben. Ein Beispiel:
http://www.name.de/neu.shtml?pic1=ordner1%2Fordner2%2Fbild1.jpg&pic2=ordner1%2Fordner2%2Fbild2.jpg
Wäre das richtig?Ja. Aber, wie ich jetzt gerade bemerkte, ist es auch ohne Kodierung der '/' erlaubt.?
Viele Grüsse
Philipp
-
Hää? Was jetzt? Muss ich codieren oder muss ich nicht? Bitte helft mir!
-
Moin Moin !
Hää? Was jetzt? Muss ich codieren oder muss ich nicht? Bitte helft mir!
Codieren schadet nicht, auch wenn es nicht muß.
Aber mal was anderes: Sei vorsichtig, wenn Du Dateipfade in URLs hast. Wenn Du diese Dateipfade ungeprüft übernimmst, kannst Du schnell mit runtergelassenen Hosen dastehen:
?file=/etc/passwd
?file=../../../../../../../../../../../../../../../../etc/passwd
?file=../../../../../../../../../../../../../../../../etc/apache/httpd.confund so weiter ...
Alexander
--
Nein, ich beantworte keine Fragen per eMail. Dafür ist das Forum da.
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so!"-
Moin Moin !
Hää? Was jetzt? Muss ich codieren oder muss ich nicht? Bitte helft mir!
Codieren schadet nicht, auch wenn es nicht muß.
Aber mal was anderes: Sei vorsichtig, wenn Du Dateipfade in URLs hast. Wenn Du diese Dateipfade ungeprüft übernimmst, kannst Du schnell mit runtergelassenen Hosen dastehen:
?file=/etc/passwd
?file=../../../../../../../../../../../../../../../../etc/passwd
?file=../../../../../../../../../../../../../../../../etc/apache/httpd.confund so weiter ...
Alexander
Hi!
Ok danke, aber was sollen diese ?file-Zeilen?Markus
-
Moin Moin !
Hi!
Ok danke, aber was sollen diese ?file-Zeilen?Sie sollen Dir zeigen, was Angreifer machen könnten, wenn sie Dein System zunächst ausspionieren und danacn töten wollten.
http://www.example.com/ssi/page.shtml?file=../../../../../../../../../../../../../../../../etc/apache/httpd.conf
wäre die vollständige Version. (Ich hielt es für offensichtlich.)
Alexander
--
Nein, ich beantworte keine Fragen per eMail. Dafür ist das Forum da.
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so!"-
Danke!
___________________________________________
-
-
-
-
-
-
-
-
Ich möchte einige Pfade meiner HP mit SSI in URLs übergeben. Muss ich die Slashes mit %2F codieren oder kann ich die stehen lassen?
Internet-Standards werden in RFCs festgehalten. Eine Suche bei Google nach "RFC URL" fördert folgendes zu Tage: http://www.w3.org/Addressing/rfc1738.txt, Abschnitt 2.2, 2. Absatz, letzter Satz, sowie 4. Absatz. Weiterhin Abschnitt 3.3, 4. Absatz.
Gruß,
soenk.e