.htaccess zu leicht zu umgehen?

D

DaRula

Erfahrenes Mitglied
huhu,
ich benutz auf meiner hp folgende funktion:
PHP: 
<?
if($show == ""){
$anzeige = "home.php";
include("$anzeige");
}
else{
$lesen = $HTTP_GET_VARS["show"];
$anzeige = $lesen;
include("$anzeige");
}
?>
dieser Code ermöglicht mir zum Beispiel die Stats von all-inkl.com Kunden einzusehen. (bsp.: http://www.ichbinbeiallinkl.com/usage)
Wie kann ich verhindern, dass ich adressen die mit http:// beginnen hinter index.php?show= klemmen kann?
 
hmm,

PHP: 
if (substr(strtolower($show),0,7)=="http://")
 {
    die("Sorry aber URLs sind ncht erlaubt");
 }
 
hmm,

mir sagt deine Fragestellung eigentlich garnichts, da ich nicht verstehe was du damit meinst dass man so htacess umgehen kann. Deine Frage sagt mir nur das du nicht willst dass andere Scripte eingebuden werden von fremden Servern.
Aber ja, es ist ein Sicherheitsloch, ein riesiges, darum wird auch überall davor abgeraten so sachen mittels include ein zu binden. Allerdings ist das Sicherheitsloch von dir als Scriptschreiber implementiert und nciht von php selbst, wenn du so einen 'Mist' codest hast du selber schuld, nicht der php Interpreter, denn jeder weiss das Computer nur so schlau sind wie der Scriptschreiber selbst.
 
mmh...fakt ist doch, dass man es kann. Und jeder der nur nen bisschen ahnung hat kann das ausnutzen und wichtige Daten, die nicht für ihn bestimmt sind einsehen kann und das darf nicht möglich sein, denn das kann zum beispiel für Firmen gefährlich werden. Und wer wird dann verklagt? Der Coder oder der Entwickler? Selbst wenn sich der Entwickler advon distanziert ist er doch im entferntesten Sinne dafür verantwortlich. Da kann die Paragraphen drehen wie man will. Ích würde nur wärmstens empfehlen, dass der "Fehler" behoben wird.

greetz DaRula
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück