Dynamische Links

[Mr.Fies]

<table>
<tr>
<td>
<a href="<?seite2.php?>?action=link1">link1</a><br>   
<a href="<?seite2.php?>?action=link2">link2</a><br>
<a href="<?seite2.php?>?action=link3">link3</a><br>
</td>        
<td>
<?
if($action == ""){
$anzeige = "link1.php";
include("$anzeige");
}
else{
$lesen = $HTTP_GET_VARS["action"];
$anzeige = $lesen.".php";
include("$anzeige");
}
?>
</td>
</tr>
</table>

was ist da unsicher, bzw. was kann schlimmsten falls passieren?

 

[DaRula]

ich hab mir die version umgeschrieben in

<?
if($action == ""){
$anzeige = "link1.php";
include("$anzeige");
}
else{
$lesen = $HTTP_GET_VARS["action"];
$anzeige = $lesen;
include("$anzeige");
}
?>

Und das is sehr unsicher, denn so kann man zum Beispiel .htaccess umgehen. Ich habs mal mit meinem stats-ordner von all-inkl.com getestet und so kann ich sie mir ohne pass ansehen. Un das ist gefährlich für vertrauliche daten.
Mit der Version hab ichs mir auch sehr einfach gemacht, denn die version kann ich auch in verbindung mit variablen in der url benutzen. Allerdings sollte man zumindest das einfügen:

<?
if (substr(strtolower($action),0,7)=="http://")
 {
    header("Location: index.php?show=darfstdunich.php");
 }
?>

Das gleiche sollte man dann aber auch mit allen dateien auf dem eigenen Server machen, die durch .htaccess geschützt sind.

 

[StefanP]

oder so:


if(isset($pfad)or($seite)){
include("$pfad/$seite.php");}

der link sollte dann so heissen:

index.php?pfad=deinpfad&seite=deineseite

so kannst du dann auch verschiedene Php-dateien die in unterschiedlichen ordnern liegen includen

 

[DaRula]

und wenn die seite noch variablen weitergibt?
dann sieht das ja so aus index.php?pfad=deinpfad&seite=deineseite?id=1.php. Oder?

 

[Mr.Fies]

<?
if (substr(strtolower($action),0,7)=="http://")
 {
    header("Location: index.php?show=darfstdunich.php");
 }
?>

das ist ganz praktisch, thx.

zu den anderen Sachen, so wie ich die datein include können ja nur .php datein includet werden und die .php datein die nicht jeder ansehen soll sind durch eine session geschützt.

 

[StefanP]

Original geschrieben von DaRula
und wenn die seite noch variablen weitergibt?
dann sieht das ja so aus index.php?pfad=deinpfad&seite=deineseite?id=1.php. Oder?

nein dann sieht das so aus:

index.php?pfad=deinpfad&seite=deineseite.php&id=1

glaub ich zumindest

 

[DaRula]

müsste es, aber er setzt doch hinter die seite also auch inkl. ? und = .php!

 

[DarkSummer]

wenn ihr wirklich eure files schützen wollt hautn chmod drüberund legt sie in seperate verzeichnisse , das is immernoch das beste , oder ihr setzt ne session einfach wenn jemand eure seite besucht und wenn jemand ohne sessionauf eine zu includende kommt passiert nix ...

 

[DaRula]

jap, ich glaub ich mach das mit den sessions.