Sicheres include mit intelligenter whitelist

**PitPanda** · 16.10.2011, 16:22

Sollte sicher sein du schließt ja alles andere aus.

Du kannst es auch so machen:

PHP-Code:


dateiarray.php
_____________


$dateien = array();

// fallback
$default = 'index.txt';

// startseite
$dateien['index'] = 'index/index.txt';

// kontaktseite
$dateien['kontakt'] = 'kontakt/kontakt.txt';

PHP-Code:


index.php
________


include_once("dateiarray.php");

// site wurde als parameter übergeben?
if(isset($_GET['site']))
{

    $site = $_GET['site'];

    // $site ist ein array key von $dateien?
    if(array_key_exists($site, $dateien))
    {

        // ist eine datei?
        if(is_file($dateien[$site]))
        {
            // ... include / weitere anweisungen
            include_once($dateien[$site]);
        }
        else
        {
            // ist keine datei also index einbinden
            include($default);
        }

    }
    else
    {
        // key existiert nicht also index einbinden
        include($default);
    }
}
else
{
    // kein get['site'] parameter übergeben index einbinden
    include($default);
}

So könntest du deinen Array übersichtlich halten und an einer Stelle zentral abändern.

**einermeiner** · 16.10.2011, 17:02

@PitPanda
Dass es sicher ist, ist schonmal gut.

Deine Schreibweise ist auch ok, bringt mir aber wenig. Auch wenns Übersichtlicher ist, es bedeutet trotzdem, dass ich jede Seite manuell hinzufügen muss.
Die Zentralität ist ja eh da. (Alles ist in der index.php enthalten)

Was mir jetzt eben wichtig wäre ist, dass die Dateien der Ordner automatisch zum Array allowed hinzugefügt werden.

Folgenden Code hätte ich z.B. schon gefunden:

PHP-Code:


$handle=opendir($ordner);
while ($file = readdir ($handle)) // while, weil nicht klar ist wieviele Dateien im Ordner sind, also werden hier die Dateien ausgelesen 
{ 
    if ($file != "." && $file != ".." && $file != "thumb" && $file!="Thumbs.db") 
         { 
         $array[] = $file; // Die Dateien aus dem Ordner werden in ein array gepackt 
    } 
} 
closedir($handle); // Schließt den Ordner wieder

Damit füge ich alle Datein des ordners $ordner in $array.
In meinem Fall müsste man das aber irgendwie umbauen. Im Array stehen ja dann die Datein so. (inhalt1.txt, inhalt2.txt, ...). Ich muss die im Array ja aber so stehen haben (inhalt1/inhalt1, inhalt1/inhalt2, ...), dass dann natürlich auch für mehrere Ordner, auch inhalt2 etc. und dazu noch die Dateien die im Hauptverzeichnis ohne Ordner sind (home, impressum,...).

Leider fällt mir als Neuling da keine Lösung ein.

**PitPanda** · 16.10.2011, 17:16

Schau dir mal folgende Funktionen an:
basename(),
__FILE__,
__DIR__,
realpath(),
dirname()
und das ultimative pathinfo()

Damit solltest du das so bearbeiten können, dass es nach deinen Wünschen in das Array geschrieben wird.

Du solltest aber auf jedenfall bestimmte Teile sperren, also alles was unterhalb deiner Struktur ist wo die index.php liegt, da kannst du dann mit strstr() mal gucken.

**einermeiner** · 16.10.2011, 18:06

Ich glaub ich habs.
Bin mir aber nicht sicher ob das so klappt wie ich das will.
Der folgende Code erstellt das Whitelist array $allowed. Der Rest bleibt wie in meinem Beitrag davor.

PHP-Code:


$ordner = array('inhalt1', 'inhalt2', 'inhalt3')
i=0;
while (i != 3) {
$handle=opendir($ordner[i]);
$allowed[] = "$ordner[i]"; //Jeder Ordner hat auch eine entsprechende .txt Datei die eingebunden werden soll
i++;
while ($file = readdir ($handle)) // while, weil nicht klar ist wieviele Dateien im Ordner sind, also werden hier die Dateien ausgelesen 
{ 
    if ($file != "." && $file != ".." && $file != "thumb" && file!="Thumbs.db") 
         {
     $info = pathinfo($file);
     $file = $info['dirname']; //Umgeformt zu (inhalt1/inhalt1)
     $allowed[] = $file; // Die Dateien aus dem Ordner werden in ein array gepackt
    } 
} 
closedir($handle); // Schließt den Ordner wieder  
}
$allowed[] = "home";

Wenn das jetzt so passt, frage ich mich was ich denn sperren soll?

**einermeiner** · 18.10.2011, 15:12

Für alle die es wissen wollen.
Habe die folgende Lösung gefunden.

PHP-Code:


$i=0;
      $ordner = array('inhalt1', 'inhalt2', 'inhalt3');
      while ($i != 3) {
      $handle=opendir($ordner[$i]);
      $allowed[] = "$ordner[$i]"; //Jeder Ordner hat auch eine entsprechende .txt Datei die eingebunden werden soll
      
      while ($file = readdir ($handle)) // while, weil nicht klar ist wieviele Dateien im Ordner sind, also werden hier die Dateien ausgelesen 
      { 
          if ($file != "." && $file != ".." && $file != "thumb" && file!="Thumbs.db") 
              {
              $info = pathinfo($file);
              $file = basename($file, '.'.$info['extension']);
              $file = "$ordner[$i]/$file";
              $allowed[] = $file; // Die Dateien aus dem Ordner werden in ein array gepackt
          } 
      }
      $i++; 
      closedir($handle); // Schließt den Ordner wieder  
      }
      $allowed[] = "home"; $allowed[] = "impressum";

Diese Lösung funktioniert erstmal mit der momentanen Ordnerstruktur.
Leider schienen die ganzen Befehle wie realpath(), dirname() etc. nicht zu funktionieren. Sie gaben nur ... zurück.

Sicheres include mit intelligenter whitelist