PHP - include per GET-Parameter

[Benutzer-621]

Moin,
möchte Dateien, über include einbinden mitm GET-Parameter, klappt aber leider net, da ohne Angabe von Parameter site .php includiert wird. Es muss, denk ich irgendwie an isset/empty liegen??? Hoffe mir kann geholfen werden . Danke

  $incval = (!isset($_GET['site']) || empty($_GET['site'])) ? "index.php" : file_exists($_GET['site'].".php") ? $_GET['site'].".php" : "index.php" ;

  include($incval);

so funzt es, haben Klammern gefehlt, PHP kann manchmal so "schwer" sein .

  $incval = (!isset($_GET['site']) || empty($_GET['site'])) ? "index.php" : (file_exists($_GET['site'].".php") ? $_GET['site'].".php" : "index.php") ;

  include($incval);

MfG

 

[LasMiranda]

bevor man anfängt das include-Problem zu lösen, sollte man vielleicht das Ganze nochmal bisschen überdenken ^^

 

[Benutzer-621]

bevor man anfängt das include-Problem zu lösen, sollte man vielleicht das Ganze nochmal bisschen überdenken ^^

Wieso, was ändern bzw. was würdest anders machen?

 

[eugenb]

So mach ich das immer^^

$_PAGE=$_GET['p'];

if($_PAGE=="")
{
	$_PAGE="main";
}

if(file_exists("$_PAGE.php"))
{

	include("$_PAGE.php");

}
else
{
	header("HTTP/1.0 404 Not Found");
}

MfG,
Eugen

 

[respawner]

So mach ich das immer^^

$_PAGE=$_GET['p'];

if($_PAGE=="")
{
	$_PAGE="main";
}

if(file_exists("$_PAGE.php"))
{

	include("$_PAGE.php");

}
else
{
	header("HTTP/1.0 404 Not Found");
}

MfG,
Eugen

wenn ich du wäre würde ich alle Seiten die so einen Code haben schleunigst offline nehmen. Da kann man sich ja schön austoben.
p=https://example.com/boeser-code

MfG respawner

 

[tobias1985]

wenn ich du wäre würde ich alle Seiten die so einen Code haben schleunigst offline nehmen. Da kann man sich ja schön austoben.
p=https://example.com/boeser-code

MfG respawner

Das verhindert er durch die Überprüfung mit file_exists. Ich seh da kein Problem.

EDIT: Allerdings würde ich bei dem Code mal die Strings von den Variablen trennen.

 

[respawner]

Das verhindert er durch die Überprüfung mit file_exists. Ich seh da kein Problem.

EDIT: Allerdings würde ich bei dem Code mal die Strings von den Variablen trennen.

OK hast recht, aber man sollte darauf achten, dass man nicht mit ../ auf Verzeichnisse zugreifen kann, auf die der User keinen Zugriff haben soll.

MfG respawner

 

[Benutzer-621]

Moin,
Prob ist gelöst, siehe erster Beitrag, wo Fehler war.

 

[tleilax]

Das verhindert er durch die Überprüfung mit file_exists. Ich seh da kein Problem.

Naja, PHP5 vorausgesetzt könnte es da mit p=ftp://somevilsite einige Probleme geben. Da wird file_exists() nämlich laut Doku auch auf dem FTP-Wrapper unterstützt und ich geh einfach mal stark davon aus, dass man, wenn man von HTTP includen kann, auch von FTP includen kann.

@tester:

Selbst schuld, wenn man 'nen zweistufigen ternären Operator aufbaut...

 

[Benutzer-621]

Naja, PHP5 vorausgesetzt könnte es da mit p=ftp://somevilsite einige Probleme geben. Da wird file_exists() nämlich laut Doku auch auf dem FTP-Wrapper unterstützt und ich geh einfach mal stark davon aus, dass man, wenn man von HTTP includen kann, auch von FTP includen kann.

@tester:

Selbst schuld, wenn man 'nen zweistufigen ternären Operator aufbaut...

gefällt mir eben besser als ELSE/IF .

 

[tobias1985]

Naja, PHP5 vorausgesetzt könnte es da mit p=ftp://somevilsite einige Probleme geben. Da wird file_exists() nämlich laut Doku auch auf dem FTP-Wrapper unterstützt und ich geh einfach mal stark davon aus, dass man, wenn man von HTTP includen kann, auch von FTP includen kann.

Mit PHP5 hab ich bisher keine Erfahrung. Ändert sich noch, sobald ich den Server wechsle. Dann schau ich mal ob der obige Code immernoch sicher wäre.
Mit PHP4 und obigem Code gibts auf jeden Fall keine Probleme.

@eugenb: Änder mal deinen Programmierstil so, dass du Strings von Variablen trennst. (schneller, da PHP die Strings nicht mehr erst nach Variablen durchsuchen muss) Dein Code würde dann so aussehen:

$_PAGE=$_GET['p']; 

if($_PAGE=="") 
{ 
    $_PAGE="main"; 
} 

if(file_exists($_PAGE.".php")) 
{ 

    include($_PAGE.".php"); 

} 
else 
{ 
    header("HTTP/1.0 404 Not Found"); 
}

Ich persönlich arbeite dann noch mit single quotes. Also die Strings statt in "-Zeichen in '-Zeichen ändern.
" -> double quotes
' -> single quotes

Manche behaupten single quotes wären schneller. Ich hab einige Benchmarks im Internet dazu gesehen. Diese Behauptung kann man nicht verallgemeinern. In manchen Fällen sind double quotes schneller und in anderen Fällen single quotes. Ich sehs als persönliche Entscheidung und ich hab mich mittlerweile auf single quotes gewöhnt.

 

[liro9000]

@eugenb: Änder mal deinen Programmierstil so, dass du Strings von Variablen trennst. (schneller, da PHP die Strings nicht mehr erst nach Variablen durchsuchen muss)

wieso soll das schneller sein ? PHP weiß ja nicht, dass der Text keine variablen enthält und parst ihn trotzdem.


PS: ich weiß, Totengräber...

 

[Darklord]

In Single quotes werden keine Variablen geparst.

 

[Johnson]

Und immer schön auf das Null-Byte achten, sonst könnte man eventuell auch Dateien ohne die ".php"-Endung auslesen.

Oder magic_quotes aktiviert lassen

 

[k7949]

Naja

Das Includeproblem ist eigentlich nicht lösbar.
file_exists() konnte bei mir auf einem Server scheints auch schon mal umgangen werden.
In jedem Fall sollte man das .php nachträglich einfügen.
Am besten ist es tatsächlich man hat dann eben z.B. ein Array, in dem alle Seiten stehen, sie aufgerufen werden dürfen.
Taja, vms ist halt so gebaut... No Risk no Fun. Aber ich würde selber so eine Seite nicht mehr bauen.

 

[raven]

Das Includeproblem ist eigentlich nicht lösbar

Ja wie?
Natürlich ist das include()-Problem jederzeit lösbar; eine Whitelist anlegen, und schon wird man wieder ruhig schlafen können.
Sofern es einen vorher interessiert hat; bezweifle ich leider bei so manchem Seitenbetreiber hier immer wieder .

 

[k7949]

jo

Hab ja gesagt am besten ist z.B. ein Array in dem alle erlaubten Seiten stehen (Whitelist). Das ist aber wohl fast zu arbeitsintensiv, drumm meinte ich auch es ist am besten Seiten einfach direkt aufzurufen.

Mit dem include sollte der Seitenaufbau ja erleichtert und nicht komnpliziert werden...

p.s.: Vielleicht wäre das ja eine interessante Möglichkeit um Lose zu verdienen. Whitelists für das vms und andere CMS die so arbeiten erstellen

 

[Raze]

Mit dem include sollte der Seitenaufbau ja erleichtert und nicht komnpliziert werden...

Naja, so viel mehr Arbeits ists nun nicht. Halt nur etwas mehr schreibkram

Wie wäre es denn wenn man festlegt, dass nur wenn die Dateien in einem bestimmten Ordner auf dem Server liegen ausgeführt werden?

So in der Art:

$allowedDir = $_SERVER['DOCUMENT_ROOT'].'/includes/';

if( isset($_GET['file']) && !empty($_GET['file']) ){

   if(file_exists($allowedDir.$_GET['file'].'.php')){

       include $_GET['file'].'.php';

   }
   else{
       header(...);
   }

}
else{
   ....
}

Is mir grad nur so in den Sinn gekommen

Mfg Raze

 

[mister_nu]

Wie wäre es denn wenn man festlegt, dass nur wenn die Dateien in einem bestimmten Ordner auf dem Server liegen ausgeführt werden?

?file=../../../../../../etc/passwd\0 foo

 

[LasMiranda]

Eigentlich müsste es sich doch bessern, wenn man zusätzlich einen regulären Ausdruck verwendet, der alle Zeichen, bis auf Buchstaben und Zahlen rausschmeißt.