nicht angemeldet
Hallo Leon,
ähm... nein, wusste ich nicht. Ich kenne mich mit PHP leider kaum aus, habe den code von einer anderen Seite genommen.
Das ist schon mal Grundsätzlich nicht so toll!
1. Es soll schon vorgekommen sein das sich solche spendable Coder eine nette Backdoor eingebaut haben um lustig Deine persönlichen Daten auf dem Server auszuspionieren/löschen/ändern/missbrauchen.
2. Wolfgang Wiese alias XWolf (ist Dir vielleicht ein Begriff,jedenfalls jemand der es wissen muss), schrieb mal hier im Forum glaub ich das er freie Script mal stichprobenartig untersucht hat und eklatante Sicherheitslücken gefunden hat.
3. Aus 1. und 2. folgt das man sich schon ein wenig auskennen sollte wenn man fremden Code nutzen möchte. Am besten fährst Du noch mit so gescheiten repositories wie http://pear.php.net/. Allerdings ist ein Anfänger AFAIK damit z.T. ein wenig überfordert.
4. Aus 3. folgt also, lieber langsam an die Sache rangehen, selber versuchen die Lösung zu finden und ggf. im Forum um Hilfe bei konkreten Problemen ersuchen.
Wo liegt das problem daran?
Das Problem ist das Du einem importierten Parameter blind vertraust und das ist insbesondere bei include() aber auch bei file(), fopen etc; eigentlich alles wo Du Dir ganze Dateien herholst sehr gefährlich. Wenn man das so lösen möchte sollte Dein Script schauen ob es das bekommt was es erwartet und ggf. eine Fehlermeldung schmeissen bzw. ein Standardwert nehmen. Importierte Parameter über Formulare und insbesondere über die URL sollten _IMMER_ (zwanzig Ausrufezeichen) über die Superglobalen $_POST, $_GET etc. bzw. bei Cookies über $_COOKIE importiert und anschliessend auf Plausibelität geprüft werden! Warum schreib ich eigentlich so viel? :-) Alles weitere und viel besser erklärt findest Du bei http://www.dclp-faq.de/q/q-sicherheit-parameter.html
Überhaupt mit include zu arbeiten?
Nee das ist nicht so schlimm, es geht mehr um die Parameterannahme und Verwertung derselben...
hmm, was soll ich tun?
Beschäftige Dich auf jeden Fall mit den Grundlagen (http://de3.php.net/manual/de/ und http://www.dclp-faq.de/) oder lass die Finger davon und übergebe das an jemand der sich damit auskennt :-)
Grüsse AndreD