[Erledigt] Include statt Frames - Sicherheitsfarge

gombi · 13.01.2010, 14:57

Hallo Alle zusammen!

Bin leider PHP Neuling und brauche etwas PHP für meine Page um keine Frames verwenden zu müssen.

Nun hab ich schon viel zu dem Thema gelesen, aber jetzt bin ich etwas verwirrt was die Sicherheit angeht.

Könnte mir bitte jemand nur kurz erklären ob ich das richtig verstehe?

Ich habe meine Seite in 3 Teile getrennt: index.php, navi.php und footer.php

Die index sieht etwa so aus:

PHP-Code:

  <? include ("top.php"); ?>

<div id="inhalt">

                <div id="textbox">

        <h1 class="textbox">Bla, bla</h1>

            </div>

</div>

<? include ("footer.php"); ?>

Die Links in de navi.php verweisen direkt auf die php Seiten mit dem Inhalt.
Also so:

Code:

<a href="bla.php" class="link">Bla</a>

Wo bei ich dann in der bla.php nur den Inhalt des dev "inhalt" verändert habe.

Hab ich das nun richtig verstanden und ich muss mir hier keine Gedanken um die Sicherheit machen?

Hab in Zusammenhang mit include viel über Sicherheit gelesen. Es werden Abfragen gemacht ob die Datei existiert, zugelassene Dateien werden in ein array geschrieben....
Wann muss ich das machen?

Vielen Dank und schönen Tag!

Gombi

Flor1an · 13.01.2010, 15:11

So wie du das machst ist es sicher.

Bei dir ist das ganze statisch. Heißt jeder include() ist fest, d.h. es wird immer die top.php oder footer.php eingebunden. Mit PHP kannst du das ganze aber auch dynamisch gestallten. Somit hast du nur noch eine index.php und welche Seite aufgerufen wird kann per Variable übergeben werden index.php?page=bla. Dabei wird dann in etwa sowas gemacht wie include($page.'.php');
Da kann man dann in der Variable $page natürlich beliebiges stehen und somit auch eine Datei eingebunden werden die nicht dafür gedacht wurde.

Da das bei dir nicht der Fall ist sollte es keine Probleme geben.

nikosch · 13.01.2010, 15:12

Includes sind nur dann problematisch, wenn die Pfade aus Variablen zusammengebaut werden. Dann besteht die Gefahr, dass diese Variablen manipuliert werden und bspw. über enthaltene ../ Pfade umgelenkt werden.

MasterD · 13.01.2010, 17:02

NEGATIVBEISPIEL:

PHP-Code:

  include($_GET['site']); <-- Niemals nie !

Es könnte sein, dass der Paramter site z.b./secure/.htacces heißt, so könnte man deinen par HTacces geschützten breich auslesen.

gombi · 13.01.2010, 19:01

Danke für die klare Antwort. Also werde ich das mal statisch machen. Meine Seite ist ja nicht sehr umfangreich.

Wenn ich das dynamisch machen will sollte das dann wohl etwa so aussehen, oder?

PHP-Code:

  <?php

    /*** the array of allowed pages ***/

    $allowed_pages = array('index', 'contact', 'tutorials');

 
    /*** check if file name is in array ***/

    if(!in_array($_GET['filename']), $allowed_pages)

    {

        echo 'File not found';

    }

    else

    {

        /*** assign the file name ***/

        $file = $_GET['filename'];

        if(!file_exists($file))

        {

            echo 'File error';

        }

        else

        {

            /*** include the file ***/

            include $file;

        }

    }

?>

LG
Gombi

Flor1an · 13.01.2010, 19:48

Ja so wäre das ok. Anhand der Whitelist kann keine andere Datei eingebunden werden. (Bei deinem include würde dann nur noch .php beim Dateinamen fehlen)

gombi · 13.01.2010, 20:06

Vielen Dank!!

Kann mir noch jemand ein Forum für css Fragen empfehlen?

ragtek · 13.01.2010, 20:07

XHTMLforum - Ein Forum für XHTML und CSS

Flor1an · 13.01.2010, 21:42

Nanana

Konkurrenz ...

Wir haben hier auch ein Forum zu HTML/CSS/JS. Da kannst du gerne auch deine Frage stellen. Wir beantworten hier eigentlich alles was mit PHP, HTML, CSS oder JavaScript zu tun hat.

gombi · 13.01.2010, 21:55

Ok, danke!

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] include mit automatischer Pfadauswahl	Benshy	PHP Tipps 2009	7	16.11.2009 22:47
Indexdatei/Template include von PHP	DarkOverride	PHP Tipps 2009	4	12.06.2009 14:18
Fehler beim kompilieren von php 5.2.9	malio	Server, Hosting und Workstations	11	05.06.2009 18:40
Problem mit Include	matze228	PHP Tipps 2009	3	01.02.2009 15:02
Formulare funktionieren nicht post kommt nicht an	ronaldl	PHP Tipps 2008	17	27.12.2008 07:46
include isoliert ausführen – Lösungsansatz gesucht	veit	PHP-Fortgeschrittene	8	09.04.2008 09:26
hinter include wird eine 1 angezeigt	\|~Râdîant~\|	PHP Tipps 2008	8	19.09.2007 13:52
include Dateien wieder ausängen o.Ä.	netti	PHP Tipps 2007	8	17.12.2006 15:14
include problem	Canni	PHP Tipps 2006	26	14.11.2006 14:24
php chat ohne Frames		PHP-Fortgeschrittene	3	26.08.2005 17:01
Include und PHP/SQL Problem ?!		PHP Tipps 2005-2	3	10.07.2005 16:04
Frames oder keine Frames?		PHP Tipps 2005	1	19.05.2005 12:28
include statt frames	BEGINNER-L	PHP Tipps 2005	4	21.03.2005 13:21
Frames		HTML, Usability und Barrierefreiheit	5	09.02.2005 17:09
Fenstergrößen festlegen bei Tabellen statt Frames		PHP Tipps 2004	3	03.08.2004 15:32

13.01.2010, 14:57
gombi Benutzer Registriert seit: 13.01.2010 Beiträge: 47 PHP-Kenntnisse: Anfänger	[Erledigt] Include statt Frames - Sicherheitsfarge Hallo Alle zusammen! Bin leider PHP Neuling und brauche etwas PHP für meine Page um keine Frames verwenden zu müssen. Nun hab ich schon viel zu dem Thema gelesen, aber jetzt bin ich etwas verwirrt was die Sicherheit angeht. Könnte mir bitte jemand nur kurz erklären ob ich das richtig verstehe? Ich habe meine Seite in 3 Teile getrennt: index.php, navi.php und footer.php Die index sieht etwa so aus: PHP-Code: `<? include ("top.php"); ?> <div id="inhalt"> <div id="textbox"> <h1 class="textbox">Bla, bla</h1> </div> </div> <? include ("footer.php"); ?>` Die Links in de navi.php verweisen direkt auf die php Seiten mit dem Inhalt. Also so: Code: <a href="bla.php" class="link">Bla</a> Wo bei ich dann in der bla.php nur den Inhalt des dev "inhalt" verändert habe. Hab ich das nun richtig verstanden und ich muss mir hier keine Gedanken um die Sicherheit machen? Hab in Zusammenhang mit include viel über Sicherheit gelesen. Es werden Abfragen gemacht ob die Datei existiert, zugelassene Dateien werden in ein array geschrieben.... Wann muss ich das machen? Vielen Dank und schönen Tag! Gombi


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

13.01.2010, 15:11
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	So wie du das machst ist es sicher. Bei dir ist das ganze statisch. Heißt jeder include() ist fest, d.h. es wird immer die top.php oder footer.php eingebunden. Mit PHP kannst du das ganze aber auch dynamisch gestallten. Somit hast du nur noch eine index.php und welche Seite aufgerufen wird kann per Variable übergeben werden index.php?page=bla. Dabei wird dann in etwa sowas gemacht wie include($page.'.php'); Da kann man dann in der Variable $page natürlich beliebiges stehen und somit auch eine Datei eingebunden werden die nicht dafür gedacht wurde. Da das bei dir nicht der Fall ist sollte es keine Probleme geben.

13.01.2010, 15:12
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.990 PHP-Kenntnisse: Fortgeschritten	Includes sind nur dann problematisch, wenn die Pfade aus Variablen zusammengebaut werden. Dann besteht die Gefahr, dass diese Variablen manipuliert werden und bspw. über enthaltene ../ Pfade umgelenkt werden. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

13.01.2010, 17:02
MasterD Erfahrener Benutzer Registriert seit: 23.08.2009 Beiträge: 241 PHP-Kenntnisse: Fortgeschritten	NEGATIVBEISPIEL: PHP-Code: `include($_GET['site']); <-- Niemals nie !` Es könnte sein, dass der Paramter site z.b./secure/.htacces heißt, so könnte man deinen par HTacces geschützten breich auslesen.

13.01.2010, 19:01
gombi Benutzer Registriert seit: 13.01.2010 Beiträge: 47 PHP-Kenntnisse: Anfänger	Danke für die klare Antwort. Also werde ich das mal statisch machen. Meine Seite ist ja nicht sehr umfangreich. Wenn ich das dynamisch machen will sollte das dann wohl etwa so aussehen, oder? PHP-Code: <?php /* the array of allowed pages / $allowed_pages = array('index', 'contact', 'tutorials'); / check if file name is in array / if(!in_array($_GET['filename']), $allowed_pages) { echo 'File not found'; } else { / assign the file name / $file = $_GET['filename']; if(!file_exists($file)) { echo 'File error'; } else { / include the file */ include $file; } } ?> LG Gombi

13.01.2010, 19:48
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Ja so wäre das ok. Anhand der Whitelist kann keine andere Datei eingebunden werden. (Bei deinem include würde dann nur noch .php beim Dateinamen fehlen)

13.01.2010, 20:06
gombi Benutzer Registriert seit: 13.01.2010 Beiträge: 47 PHP-Kenntnisse: Anfänger	Vielen Dank!! Kann mir noch jemand ein Forum für css Fragen empfehlen?

13.01.2010, 20:07
ragtek Erfahrener Benutzer Registriert seit: 10.02.2009 Beiträge: 929	XHTMLforum - Ein Forum für XHTML und CSS

13.01.2010, 21:42
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Nanana Konkurrenz ... Wir haben hier auch ein Forum zu HTML/CSS/JS. Da kannst du gerne auch deine Frage stellen. Wir beantworten hier eigentlich alles was mit PHP, HTML, CSS oder JavaScript zu tun hat.

13.01.2010, 21:55
gombi Benutzer Registriert seit: 13.01.2010 Beiträge: 47 PHP-Kenntnisse: Anfänger	Ok, danke!