Der Martin: Include (php Seiten Inkludieren als zusätzliches script)

Beitrag lesen

SELF-Forum

Include (php Seiten Inkludieren als zusätzliches script)

Der Martin
Informationen zu den Bewertungsregeln

Hallo,

Mir ist klar das eingegebene Daten die per POST (z.B. Value) gesendet werden sichtbar sind! Hierfür braucht man keine speziellen Addons um diese zu sehen. Ein blick in den Quelltext reicht aus!

nicht ganz; nach dem Blick in den Quelltext weiß man immer noch nicht, *welche* name-value-Paare tatsächlich gesendet werden (Stichwort: successful controls). Aber es gibt viele Möglichkeiten, die tatsächlich gesendeten und empfangenen Daten einzusehen. Die größte Keule wäre vermutlich Wireshark oder ein protokollierender Proxy, die einfachste Methode IMO die LiveHTTP-Extension für den Firefox.

Es ging mir in erster Linie nur darum Manipulationen am Include Script selbst zu Unterbinden. Mit GET könnte man fremde Scripte einschleusen wenn auf dem Server allow_url_fopen aktiviert ist!

Nein. Versuche bitte *ganz genau* nachzuvollziehen, wie das deiner Meinung nach gehen sollte. Es geht nicht. Es geht nur dann, wenn du aus den GET-Parametern z.B. den Namen der include-Datei bildest. Das ginge aber dann mit POST ebensogut.

Auch kann man über die Eingabefelder die per POST gesendet werden scripte einschleusen wenn diese nicht auf bösen Code geprüft werden!

Auch hier: Nein. Es sei denn, du kommst auf die gefährliche Idee, Parameter mit eval() als Programmcode auszuführen. Nur die Tatsache, dass übergebene Parameter so aussehen wie PHP-Code, führt diesen Code noch lange nicht aus.

echo ‘SPAM VERDACHT’;

Die Zierschnörkel anstatt der Anführungszeichen hat dedlfix ja schon kritisiert; mir sind sie auch schon in deinem ersten Posting aufgefallen.
Auch über Sinn und Unsinn deiner weiteren Überprüfungen hat er schon einiges gesagt.

echo ’Durch einen unerwarteten Fehler kann das Formular nicht bearbeitet werden!<br><br>’;
      echo ’Bitte versuchen Sie es morgen erneut!’;

Und morgen klappt es dann besser? ;-)

?>
<?php

Was veranlasst dich, den PHP-Block zu beenden und sofort wieder aufzumachen?

Könnte man dieses so lassen oder ist das ein absolutes Sicherheitsrisiko?

Es ist vor allem viel Aufwand ohne irgendeinen Nutzen.

So long,
 Martin

--
Auf jeden Menschen auf der ganzen Welt entfallen statistisch gesehen etwa 3000 Spinnen, wie Wissenschaftler jetzt festgestellt haben.
Wer will meine haben? Denn ich will sie bstimmt nicht.
Beitrag melden
Informationen zu den Bewertungsregeln