Schon wieder eine Frage zu eval()

Ich würde jetzt mal sagen, dass ein simples stripshlashes nichts hilft. Wenn in dem GB Eintrag z.B. steht:
dann kann man den Inhalt dieser Datei sehen.
Du musst viel eher die gesamte Zeile nach php-Schlüsselwörtern durchsuchen, die allenfalls eine Fkt sind. Dann musst du diese rausfiltern.

Ich denke aber, dass dies ziemlich aufwändig sein dürfte.

Gruss

tobi

Hab das grad mal ausprobiert !
Egal was ich in mein GB einklimper, der PHP-Code wird immer nur als
Text ausgeben, jedoch nicht verarbeitet. Hab auch mal was anderes
eingetragen, aber nichts ist passiert.

Warum? Keine Ahnung!

Jedenfalls scheind die Filterung mit

zu funktionieren.


MFG, Tommes !

Diese Codezeile entfernt aber ganz bestimmt nicht einen Brösel php aus dem String. Also vom Sicherheitsapekt her ändert diese Zeile nix an deinem Code.

Gruss

tobi

Das ist wohl richtig, jedoch richtet er scheinbar auch einen Schaden an.
Ich versteh also nicht ganz, worauf du hinaus willst?

Ich kann eintippen was ich möchte, denn verarbeitet wird es nicht. Wie
kann man dann "bösen" Code einschleusen? Versteh ich nicht?

Vielleicht hast du noch ein anderes Beispiel, wie sowas funktionieren könnte,
ich sehe bis jetzt aber eigentlich kein Sicherheitsproblem. Lass mich aber
gerne auch vom Gegenteil überzeugen


Tommes !

dann stell doch mal ne spielwiese zur verfügung, ich habe keine lust, dein gb zu zuspammen ...

btw: dein code im eingangspost sieht stellenweise total sinnfrei aus ...
sinn? besonders, wenn man die nächste zeile betrachtet?

und wieso gibst du output außerhalb der while aus? immerhin überschreibst dus innerhalb immer wieder ...

Ev änderst du auch die ' und die ". Und das ist Gift für PHP und Strings. Und ausserdem entfernst du mit stripslashes() ev Slashes, die so sein sollten.

Ich kenne mich jetzt zu wenig gut aus, aber vllt wird das Ergebnis von eval() in den Buffer geschrieben. Und wenn du den Buffer leerst, schickt php alles wie es ist an den Browser, ohne den Inhalt nochmals zu parsen

Gruss

tobi

Wenn du damit meinst, das ich mein Script Online stellen soll damit es
vielleicht doch jemand schafft, bei mir Schaden anzurichten, dann hast du
dich geschnitten. Außerdem wird unter www.tommes-inside.de
kein eval() eingesetzt, sonder ich probiere es grade lokal auf meinem
Rechner. (Trotzdem Danke für den GB Eintrag)

btw: dein code im eingangspost sieht stellenweise total sinnfrei aus ...

PHP-Code:

$code=str_replace('<'.'?php','<'.'?',$row['tpl']); 


sinn? besonders, wenn man die nächste zeile betrachtet?

Stimmt, denn eigentlich sollte dort .....

PHP-Code:

ob_start();             
$row['tpl']=str_replace('<'.'?php','<'.'?',$row['tpl']);
$row['tpl']='?'.'>'.trim($row['tpl']).'<'.'?';
eval($row['tpl']);
$output = ob_get_contents();
ob_end_clean(); 


..... stehen ! (Hoffe ich jedenfalls
(Hab diesen Codeschnipsel von hier.... entnommen)

und wieso gibst du output außerhalb der while aus? immerhin überschreibst dus innerhalb immer wieder ...

Warum nicht! Schließlich wird eh nur eine Tabellenzelle ausgelesen.
Und es funktioniert ja auch. Er liest das komplette Template aus und
zeigt es an.

Tommes !

@tommes1971
Nein der mit der GB Eintrag war ich. Sorry aber ich wollte nur sehen, wie der Text verarbeitet wird. Und ob allenfalls der eval() greift.

Gruss

tobi

No problem, habs schon wieder gelöscht.

wow - du willst informationen und hilfe haben, und machst mich dann so dumm an?
ja, klar, warum nicht. vielleicht solltest du vor der ausgabe noch schnell sämtlich mögliche ips anpingen, und schauen, ob du dort eine antwort erhälst, oder einfach nur alle variablennamen durch 128 zeichen lange buchstabenkombinationen ersetzen ...

generell gehts du recht blauäugig an die sache ran ... mir egal.

Morgen erstmal!
Ich wollte dich keineswegs dumm anmachen. Sollte das so rüber
gekommen sein, dann sorry. Aber sein wir doch mal ehrlich. Würdest du
ein "eventuell gefährliches" Script Online stellen, damit andere versuchen
können, z.B. deine Datenbank zu löschen oder schlimmeres? Ich glaube
kaum!

Die Codeschnippsel in meinem Eingangspost habe ich aus anderen Foren.
Und da ich kein PHP Gott bin, weiß ich auch nicht ob es der Weisheit letzter
Schluß ist. Mag sein das da noch Fehler drinn sind, aber wäre es dann nicht
bresser mir einen anderen Lösungsvorschlag zu geben. Denn so wie im
Eingangspost, läuft das Script ja bei mir. Es wird kein Fehler ausgespuckt.
Kann natürlich sein, das das ganze Script Mist ist, aber dann klärt mich
doch auf. Ich mach das ja auch nur aus Spaß an der freud und nicht um
hier jemanden blöd anzumachen.

Zum Thema eval = evil !
Dazu hast du noch garnichts gesagt. Ich wollte doch nur wissen, wie ich
bezüglich eval "bösen" Code einschläusen kann. Und da bis jetzt alle
Versuche Fehlgeschlagen sind, frage ich mich ob es wirklich so böse ist.
Daher bitte ich euch ja auch, mir zu sagen wie das gehen soll, damit ich,
wenn es denn geht, Maßnahmen ergreifen kann, oder besser noch, ihr mir
Tipps geben könnt wie man dem entgegenwirkt. Dafür ist doch ein Forum gedacht, oder?

OK, ich hoffe, ich hab dir jetzt nich wieder auf die Füße getreten, aber wie
gesagt, anstatt mir zu sagen das es Mist ist, gebt mir doch lieber einen
Lösungsvorschlag. Und wenn das zu viel verlangt ist, dann ist das hier
wohl nicht der Richtige Ort um nach Lösungen zu suchen.

Tommes!

Salut Tommes

der Hund hatte schon ein bisschen recht
Zum Themas Sicherheit gibt's eigentlich nicht viel mehr zu sagen. Du jagst Usereingaben ziemlich ungeprüft auf PHP los. Du hast den Spruch 'Never trust incoming data' sicher auch schon mal gehört. Der existiert nicht umsonst
Und deine 'Entschärfungen' à la
würden so etwas erst richtig möglich machen.
Wenn du ein Form abschickst und auf der Empfangsseite einfach mal ein
machst, dann wirst du sehen, dass Zeichen wie ' und " escapet werden. Diese werden dann von MySql als nicht mehr gefährlich angesehen und in die DB geschrieben. Dann machst du ein stripslashes() und entfernst die Slashes wieder. Dann jagst du das auf eval() los. Mann wenn das nicht gefählich ist...
Wenn du mal lokal auf deinem Server testen willst dann strick dir doch ein Form à la
und probier aus. Sichere aber davor deine htdocs oder wwwpubs

Zum Schluss eval === almost always evil

Gruss

tobi

Hey Tobi!

Danke für deinen Post! Damit kann ich was anfangen.
Denn auch wenn es nicht so aussieht, versuche ich schon ein gewisses Maß an Sicherheit zu erreichen (deshalb ja auch dieser Thread). Daher hab ich das Script auch nicht Online gestellt. Jedoch sind mir halt manche Zusammenhänge noch nicht ganz klar gewesen, (Anwender mit gefährlichem Halbwissen eben) auf die du mich ja jetzt aufmerksam gemacht hast.

Werde das heut Abend mal testen und schaun, was so passiert.


So long, Tommes !