Hallo oxo888oxo,

Meinst Du das quasi so?

Ja. Und das kann dir bei allen Einträgen passieren, nicht nur beim Referer.

Bis demnächst
Matthias

Tach!

$visitor_referer = isset($_SERVER['REQUEST_URI']) ? $_SERVER['REQUEST_URI'] : '';

BTW, In JavaScript kann man das auch mit ||-Operator machen. In PHP ist das aber ein boolescher Operator.

Der Vergleich hinkt. In Javascript würde man das so schreiben können, in PHP hingegen nicht (ungestraft):

foo = bar['foo'] || 'defaultwert';

Javascript erzeugt keinen Fehler beim Zugriff auf nicht vorhandenes Array-Element oder eine Objekteigenschaft. Selbst wenn PHP nicht true/false sondern den Wert des einen oder anderen Teilausdrucks zurückgeben würde, würde ein Konstrukt wie dieses immer noch eine "Undefined index"-Notice werfen.

dedlfix.

Tach!

if (isset($_SERVER["REQUEST_URI"]) $visitor_referer = $_SERVER["REQUEST_URI"];

Wer öfter mit diesem Array (Serverumgebung) arbeitet, Tipp: Binde es an eine Klasse die sicherstellt, dass jeder lesende Zugriff auf einen Schlüssel einen definierten Wert liefert, z.B. einen Leerstring.

Beispiel bitte in PHP, wie man diese erwähnte Bindung hinbekommt.

PS: Warnungen ausschalten ist natürlich keine Lösung. Eher sollte jede Warnung eine Exception werfen damit sie gleich bemerkt wird!

Erläutere bitte, wie man unter PHP dazu kommt, dass eine Warnung eine Exception wirft.

dedlfix.

Tach!

Ich habe das Script nun mal weiter angepasst (siehe unten). Ist es so schon besser? Oder sollte ich noch etwas anpassen der Sicherheit wegen?

$mail_extras .= "Content-Type: text/plain; charset=utf-8\n";

$mail_text .= "Aufgerufene Adresse: http://" . $visitor_server . htmlspecialchars($visitor_request) . "\n";
$mail_text .= "HTTP Referer: " . htmlspecialchars($visitor_referer) . "\n\n";
$mail_text .= "User Agent: " . htmlspecialchars($visitor_agent);

Wenn du nun auf Plain-Text umgestiegen bist, brauchst du kein htmlspecialchars() mehr. htmlspecialchars() sorgt dafür, dass Daten im HTML-Kontext nicht als HTML-Tags erkannt werden. Plain-Text enthält keinen ausführbaren Code und dafür muss man keine weiteren Sicherheitsmaßnahmen ergreifen - solange man ihn als Plain-Text behandelt.

dedlfix.

Tach!

Solltet Ihr jedoch zu dem Schluss kommen, dass es unrettbar "bad,bad,bad" ist, stellt es kein Problem dar, die Publikation zu löschen, um Mißbrauch oder gar Schäden nicht zu fördern.

Also, ich bin nicht dieser Meinung. Man kann alles so umschreiben, dass es den Umständen nach sicher wird. Es sieht jetzt auch nicht grundsätzlich so aus, als ob es weniger Aufwand wäre, es neu zu schreiben, als die Fehler zu beseitigen. Der wichtigste Punkt ist die kontextgerechte Behandlung der Werte. Man muss sich dann auch keine Gedanken machen, was woher kommt, denn sobald man irgendwas in den Zielkontext so einfügt, dass es als Daten interpretiert wird, hat man keine Injection-Lücke mehr.

Allgemeine Hinweise zur Verbesserung:

Es ist nicht sinnvoll, Werte aus $_SERVER (oder $_GET oder $_POST) 1:1 in andere Variablen umzukopieren. Man gewinnt dadurch nur wenig (kleiner Komfort beim Einfügen in ""-Strings), hat aber eine Indirektion drin und eine Variable mehr zu pflegen. Wenn man den Wert anschließend nur ein einziges Mal braucht, hat man sogar effektiv mehr Code geschrieben, als wenn man den $_SERVER['irgendwas'] direkt am Ziel notiert hätte.

Statt vieler Zeilen mit $mail_text .= kann man die Heredoc- oder die Nowdoc-Syntax verwenden (siehe Handbuch zu Strings). Man kann dabei auch Variablen (sowie komplexe Array-Zugriffe) einbauen, allerdings keine Rückgabewerte von Funktionsaufrufen. Diese braucht man aber, wenn man htmlspecialchars() oder eine andere Maskierfunktion für den Ziel-Kontext verwenden muss.

dedlfix.

Hallo Reiner,

Herzlichen Dank für die Kommentare zu diesem Skript, dass von meiner Seite stammt.

das ≠ dass

1. Das Skript ist nicht an ein Formular gekoppelt. Es gibt keine Eingabefelder und keinerlei HTML-Code, der Prozess läuft völlig unsichtbar für den Benutzer.

Allgemein: Security by Obscurity kann funktionieren, muss aber nicht (das ist dann allerdings keine Sicherheit). Aber die Sicherheitsaspekte wurden hier ja bereits besprochen.

2. Es dient in der Praxis dazu, Link-Fehler innerhalb der Site zu entdecken. Dies ist sinnvoll und hilfreich, weil die Site faktisch tausende interner Links enthält (statisch gesetzt und großteils dynamisch erzeugt).

Gerade dann ist ein Blick in die Log-Dateien oft besser, weil man die besser als einen E-Mail-Haufen filtern kann, das sollte auch noch als Alternative erwähnt werden. Vielleicht ist diese Funktionalität aber für Leute, die das Log-Datei-Checken verschwitzen, ein nettes Helferlein.

4. Tatsächlich wird der User-Agent nicht gebraucht, ebenso wenig die IP-Adresse (braucht nicht weiter betrachtet werden).

Das Loggen der IP-Adresse dürfte in Deutschland meines Wissens zumindest rechtlich bedenklich sein.

5. Die Fehlerunterdrückung dient dazu, keinerlei Hinweis im Browser auf die Background-Routine zu liefern (jede bessere Methode wird gern genommen). Der Benutzer erhält ausschließlich (unabhängig vom Skript) wie üblich eine Error-Page (NOT FOUND), wenn der Fehler durch fehlerhaften Aufruf über die Adresseingabe oder durch einen fehlerhaften Link auf einer Seite ausgelöst wurde.

Das Error-Reporting von PHP auf passende Werte stellen (am besten in der php.ini), also die Fehler dem Nutzer generell nicht anzuzeigen (wozu auch, der Website-Betreiber muss ihn letztlich beheben), sondern nur in den Log-Dateien zu speichern, wo sie auch hingehören.

Solltet Ihr jedoch zu dem Schluss kommen, dass es unrettbar "bad,bad,bad" ist, stellt es kein Problem dar, die Publikation zu löschen, um Mißbrauch oder gar Schäden nicht zu fördern.

Ich finde es gar nicht schlecht, solche Fertig-Scripte bereitzustellen, am besten mit Erläuterungen – deren Leser werden dadurch vielleicht angeregt, sich mit PHP zu beschäftigen – vor allem dessen Möglichkeiten kennenzulernen – und sich eventuell sogar „anfixen“ lassen
– Bei mir war es so: Ich habe eines dieser fertigen Datei-Upload-Scripte ausprobiert, bin im Verlauf des Experimentierens (aber nicht des Einsatzes) auf Probleme (Dateigröße...) und Sicherheitsbedenken (Login via BasicAuth (.htaccess) davor geschaltet) gestoßen und habe mich dann letztlich mit PHP beschäftigt, um die Hintergründe zu verstehen.

Gruß
Julius

Der Operator .= liest zunächst die Variable auf der linken Seite ... und wenn die bisher noch nicht vorher schreibend angesprochen und dabei angelegt wurde, gibts diesen Fehler. Der erste Zugriff sollte mit = eine Nur-Zuweisung sein, so wie bei $mail_extras.

Ah alles klar. Dankeschön!

Moin

Ich kann dir keine Absolution geben, nur sagen, dass mir nichts weiter auffällt.

Geilomat :-)

Gruß Ingo

Hallo Daniel

Content-Language dürfte von keinem E-Mail-Programm ausgewertet werden und ich wäre mir nicht so sicher, dass deine Daten utf-8-kodiert sind.

OK ich verstehe. Glaube ich zumindest :-) Ich soll es also lieber so machen?

// E-Mail
  $mail_extras = "From: Error-Manager <$mail_from>\n";
  $mail_extras .= "Content-Type: text/plain\n";
  $mail_extras .= "Content-Transfer-Encoding: 8bit\n";

Das "e" kannst du dir sparen, es sei denn, du brauchst es, um dich an den Wechsel zwischen Sommer- und Winterzeit zu erinnern. Oder du hast deinen Server in einem Luftschiff untergebracht, das um die Welt gondelt.

OK, also einfach weg mit dem e?

 $mail_text .= "Datum: " . date("j.n.Y H:i:s") . "\n";

Ich hoffe nur, dass du keine Weiterleitung auf das Skript angelegt, sondern es als Fehlerdokument korrekt eingetragen hast. Leute, die, absichtlich oder unabsichtlich, ihre Server mit 301 statt 404 antworten lassen, gibt's en masse.

Das Script befindet sich in meiner 4040-Fehlerseite. Diese ist korrekt in der .htaccess eingetragen und liefert auch den Statuscode 404 zurück. Ist es das, was Du gemeint hast?

Gruß Ingo

Tach!

Ich habe es bei mir auf der Website generell so eingerichtet, dass alle PHP Fahler nicht im Browser angezeigt werden. Die laufen bei mir alle in eine log-Datei, in die ich ab und zu mal hineinschaue und hoffe, dass sie weiterhin leer ist.

Das ist doch sinnvoll so, oder?

Ja. Eine allgemein sinnvolle Vorgehensweise ist, das error_reporting auf E_ALL stehen zu haben und in der Entwicklungsumgebung display_errors auf on zu haben, in der Produktivumgebung hingegen auf off. Dort sollte außerdem log_errors auf on stehen und error_log auf eine regelmäßig überprüfte Datei zeigen. Oder man schaut da nach, wo es per Default hingeleitet wird.

Natürlich ist das nur eine allgemeine Empfehlung. Im Individualfall kann man auch was anderes einstellen, beispielsweise wenn man Fremdanbietersoftware verwendet, die ständig Notice-Fehler produziert, und man das nicht beseitigen (lassen) kann oder will.

Eine weitere Möglichkeit (statt error_log) ist, einen eigenen Errorhandler zu schreiben, der alle Fehler nach den eigenen Vorlieben verarbeitet (Mail senden oder Datenbankeintrag oder wasauchimmer.

dedlfix.

Eine Spamschleuder baut man, indem man die Möglichkeit schafft, dass der Anwender beliebige Headerzeilen oder anderweitig beliebige Empfänger angeben und möglichst noch eine selbstverfasste Nachricht eingeben kann. Letzteres zum Beispiel bei einem simplen Kontaktformular.

Das ist nur die unmittelbare Sicht. Indirekt wird der Webserver auch zur Spamschleuder

• wenn man eine Möglichkeit für einen nicht vorgesehenen Dateiuplaod (z.B. einer Webshell) schafft,
• oder wenn man die Möglichkeit einer nicht vorgesehenen Rechtemanipulation als Voraussetzung weiteren Vorgehens schafft,
• oder, oder, oder...

Es kommt dann nur noch auf die Nutzungsart an.