Lösungen gegen RFI& LFI Exploits?

K

KD3

Erfahrenes Mitglied
hi leute...


Kann mir bitte vll einer kurz erklären wie man sich gegen Remote File Inclusions und Local File Inclusions schützen kann? Ein Link würde schon genügen, danke im voraus

MfG
KD3
 
Der beste Schutz: alle Eingaben validieren. Denn beide Lücken nutzen aus, dass die Eingaben nicht validiert werden und somit auch unerwartete Werte wie vollständige URLs oder relative Pfadangaben durchgehen.
Gegen die erste Lücke reicht es die allow_url_fopen-Konfigurationsdirektive zu deaktivieren. Gegen die zweite hilft es beispielsweise nur Werte aus einer Positivliste zuzulassen.
 
Sorry.. aber jetz hab ich garnichts gepallt XD

Meinst du ich soll z.B $_GET['id'] -> intval($_GET['id']) machen?

Das wichtigste ist ja mit dem include-befehl, wie muss ich da vorgehen so? :

$basep = $_SERVER['DOCUMENT_ROOT'];

include($basep. "folder/included.inc.php);

MfG
KD3
 
Die Sicherheitslücken bestehen nur, wenn sie durch von außen kommende Eingabewerte gesteuert werden, also es beispielsweise folgende oder ähnliche Anweisung gibt:
PHP: 
include $_GET['page'];
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück