glowhand
Programmierer
- 21 April 2006
- 273
- 16
Moin, moin.
Auf diversen Internetseite, wie auch hier im Forum, liest man ja immer von der Absicherung des include()-Befehls an Hand einer whitelist....
So ist dieser Code unsicher:
...dieser allerdings schon:
Das ist ja schön und gut, aber lohnt sicher Mehraufwand zur Erstellung einer Whitelist denn überhaupt?
Wäre das Script nicht so schon genug abgesichert...
...oder ähnlichen Sicherheitsvorkehrungen?
Auf diversen Internetseite, wie auch hier im Forum, liest man ja immer von der Absicherung des include()-Befehls an Hand einer whitelist....
So ist dieser Code unsicher:
PHP:
include($_GET['site'].'.php');
...dieser allerdings schon:
PHP:
$whiteList = array('index','tomate','fernseher');
if( in_array($_GET['site'],$whiteList))
{
include($_GET['site'].'.php');
}
Das ist ja schön und gut, aber lohnt sicher Mehraufwand zur Erstellung einer Whitelist denn überhaupt?
Wäre das Script nicht so schon genug abgesichert...
PHP:
include(basename($_GET['site']).'.php');
...oder ähnlichen Sicherheitsvorkehrungen?