Simbo

Hallo zusammen,

also mein PHP Script bekommt per GET einen Pfad übermittelt, der vom User selbstverständlich beeinflussbar ist.
Nun möchte ich verhindern, dass der Pfad in bestimmte Verzeichnisse führt.
Ein Beispiel...

Folgende Verzeichnisse existieren:
domain.de/files/
domain.de/files/secure/
domain.de/files/secure/sub/
domain.de/files/foo/
domain.de/files/bar/
domain.de/private/

Der Pfad darf nun in /files/ und alle Unterverzeichnisse von /files/ führen, aber nicht in /files/secure/ und Unterverzeichnisse von /files/secure/.
Ausserdem darf der Pfad nicht auf / oder /private/ oder übergeordnete Verzeichnisse auf dem Webserver führen.

Es gilt also beispielsweise folgende Pfade herauszufiltern und die Weiterverarbeitung zu verhindern:
/files/../
/files/../private/
/files/foo/../../secure/sub/
/files/../../../somewhere/

Gleichzeitig sollen aber Pfade wie /files/foo/../bar/ erlaubt sein.

Wie mach ich das am besten?

Gruß

Simon

Mister Ad

Wolla

Du nimmst den Pfad auseinander, schaust die einzelnen Bestandteile an, und weist dann das ab, was nicht erlaubt sein soll.

Oder du verwaltest eine Liste aller erlaubter Ordner in einem Array und prüfst den gefundnen Pfad auf Existenz in diesem Array.

Simbo

Genau da liegt mein Problem...
Sobald ein Pfad ".." enthält, gibt es einfach unendlich viele Kombinationen.

Das wiederum geht auch nicht.
Sowohl die erlaubten als auch die nicht erlaubten Ordner verändern sich ständig in Anzahl und Bezeichnung.

Das einzige was sich nicht verändert, ist das Stammverzeichnis erlaubter Ordner (im Beispiel /files/) und der Name des Verzeichnisses, das inkl. Unterverzeichnisse ausgeschlossen werden soll (/files/secure/). Die Unterverzeichnisse innerhalb von /files/secure/ können sich ebenfalls verändern.

Klar, kann ich den String prüfen, ob er einen nicht erlaubten Verzeichnisnahmen enthält.
Das heisst aber noch lange nicht, dass er auch in einem nicht erlaubten Verzeichnis landet.

/files/../files/secure/sub/../../foo/ wäre zum Beispiel eine Kombination, die am Ende in einem freigegebenen Ordner landet.

Die Lösung ist bestimmt nicht kompliziert, aber irgendwie brauch ich nen Denkanstoß...

drsoong

Sieht so aus, als müßtest Du Deine Verzeichnis so umstricken, dass eindeutig ausgehend von einem erlaubtem Stammverzeichnis überall gespeichert werden darf und die unerlaubten Verzeichnisse halt ein anderes Stammverzeichnis haben. Dürfte allerdings 'ne Menge Arbeit sein, wenn Deine Anwendung in evtl. jeder Seite relative Pfade benutzt.

Vielleicht kann man aber auch bei allen unerlaubten Ordnern erst mal die Schreibrechte entziehen und dann - habe ich selbst noch nie gemacht - an Hand der Eigenschaft "ist schreibgeschützt" entscheiden, was man dem User bietet. Habe allerdings keine Ahnung wie man das ausliest.

sharp

Du könntest auch in die Verbotenen Ordner einfach eine index.php packen die per header() den User rauswrifst sobald er das Verzeichnis aufruft und wider bei der Ausgangsseite landet

lazydog

Schau doch mal realpath() an, das expandiert dir die '..' und gibt dir einen absoluten Pfad zurück. Der Rest ist dann ein Kinderspiel.

__________________
Gruss
L

Simbo

Danke!

realpath() ist genau das, was ich gesucht hab...
(Dass sich dieses Problem mit einem kleinen Hinweis auf eine Seite im Manual gelöst hat, ist ja schon fast peinlich...)