GET und Sicherheit

beginnerx · 27.03.2010, 16:49

Hallo!

Bin php-anfänger, brauche nur ein paar php funktionen und habe nicht die Zeit mich komplett einzuarbeiten. Jetzt habe ich eine Frage zur Sicherheit in Verbindung mit GET. Vielleicht hat jemand kurz Zeit und Lust mir zu antworten.

Habe eine ziemlich lange Auflisten von Bildern und beim Anklicken eines Bildes wird eine xy.php aufgerufen und eine Variable mitübergeben. Die Variable enthält den Namen der dem Bild entsprechenden Textdatei deren Inhalt dann an bestimmten Stellen in der aufgerufenen xy.php angezeigt wird. Also nichts mit Passwörtern oder so.

Gibt es dabei gravierende Sicherheitsprobleme (z.B.Manipulation von außen - die angesprochenen Daten liegen ja nur auf meinem Server - oder könnte jemand den Inhalt der Textdateien z.B. ändern ? )

Vielen Dank !

nikosch · 27.03.2010, 16:53

Und wenn wir jetzt ja sagen, was würdest Du dann ohne Wissen um PHP- und Servertechniken damit anfangen wollen?

beginnerx · 27.03.2010, 17:03

Dann würde ich eben die Zeit aufwenden müssen. Hatte gehofft, Antworten zu bekommen nach denen ich eventuelle Sicherheitsprobleme bewerten bzw. einschätzen kann (nach meinem Maßstab).

BlackSpirit · 27.03.2010, 17:16

Du musst die GET Werte überprüfen bevor du mit ihnen weiterarbeitest.
Kleines bsp:
url.com?id=1234

PHP-Code:

  if(is_numeric($_GET['id'])) {

  //OK

} else {

  //was auch immer...

}

nikosch · 27.03.2010, 17:20

Zitat:

Hatte gehofft, Antworten zu bekommen nach denen ich eventuelle Sicherheitsprobleme bewerten bzw. einschätzen kann (nach meinem Maßstab).

Auf Basis Deiner obiegn Information kann man gar nichts sagen.

beginnerx · 27.03.2010, 17:59

Zitat:

Zitat von BlackSpirit

Du musst die GET Werte überprüfen bevor du mit ihnen weiterarbeitest.
Kleines bsp:
url.com?id=1234

PHP-Code:

  if(is_numeric($_GET['id'])) {

  //OK

} else {

  //was auch immer...

}

Danke Blackspirit. Die Variablen überprüfe ich - bin aber total verunsichert, ob das ausreicht. Bin totaler Neuling und weiß nicht, auf was man mit z.B. ... anzeige.php?infos=xyz.txt& ... ungewollt Zugriff gewährt (nach all den Horrormeldungen die man so liest).

BlackSpirit · 27.03.2010, 18:13

Das kann ich dir nicht sagen da ich dein Script nicht kenne und ohne Grundlagen wird das nix.

beginnerx · 27.03.2010, 18:16

Zitat:

Zitat von nikosch

Auf Basis Deiner obiegn Information kann man gar nichts sagen.

Sorry Nikosch - ich will nicht nerven. So diffus wie meine Frage rüberkam, so diffus ist mein Wissen über php. Was ich wissen wollte ist - kann allein schon eine Anweiseung wie z.B. anzeige.php?info=xyz.txt& ausreichend sein, daß jemand dadurch "leichter" z.B. an mein Zugangspasswort zum Provider kommt oder meine Daten ändern kann.

beginnerx · 27.03.2010, 18:43

Zitat:

Zitat von BlackSpirit

Das kann ich dir nicht sagen da ich dein Script nicht kenne und ohne Grundlagen wird das nix.

Hallo Blackspirit !

Ich rufe in einer reinen html-site Folgendes auf:

<a href="anzeige.php?haus=c275.txt&">
<img src="images/c275/bild1kl.jpg" width="125" height="96"
class="smallbord" alt=""></a>

Anzeige.php ist auch reines HTML - mit zwei php-Abschnitten:

Dateiinhalt in Array lesen

<?php
$datei = $_GET["haus"];
$array = file($datei);
?>

und Dateiinhalt an den entsprechenden Stellen ausgeben:

<div id="content">
<h2>
<?php
echo $array[0];
?>
</h2>
<ul>
<li><span class="fett">Lage:</span>
<?php
echo $array[1];
?>
</li>
<li><span class="fett">Entfernung zum Meer:</span
<?php
echo $array[2];
?>
</li>
usw.

Mehr brauche ich nicht, will nur die jetztige Site (komplett in html gemacht) etwas flexibler und für mich wartungsfreundlicher gestalten. Bis jetzt habe ich ca. 250 Artikel zum Anklicken und somit auch 250 Seiten - also für jeden Artikel eine Seite.

Danke für Deine Mühe !

nikosch · 27.03.2010, 19:01

Ja, das kann reichen. Durch Cross site scripting. Dein obiges Beispiel kann auch wunderbar Systemdateien auslesen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Wie hoch ist das Interesse an Sicherheit?	Sirke	PHP Tipps 2010	7	26.02.2010 19:22
Bewertung der Sicherheit einer Hash-URL oder Alternativen	nikosch	PHP-Fortgeschrittene	15	13.07.2009 18:56
BACKLINK CHECK und SICHERHEIT von zentraler CSV-Datei	ff-webdesigner.de	PHP-Fortgeschrittene	16	27.11.2008 20:25
Sessions und die Sicherheit. Verständnisfrage.	litterauspirna	PHP Tipps 2008	7	30.10.2008 09:39
sicherheit	SteiniKeule	PHP Tipps 2008	9	20.10.2008 06:48
[Erledigt] Sicherheit erhöhen...	pck1983	PHP Tipps 2008	22	03.08.2008 01:31
[Erledigt] Sessions und Sicherheit	Wolla	PHP Tipps 2008	16	01.08.2008 19:33
Sicherheit in PHP	robydog	PHP Tipps 2008	52	10.05.2008 13:09
FON und die WiFi Ads - Bald mehr Sicherheit		PHP Tipps 2007	0	03.08.2007 12:06
PHP Sicherheit	Plague	PHP Tipps 2007	13	26.04.2007 16:24
Erfahrung mit Sessions ( Sicherheit )	GELight	PHP Tipps 2006	6	11.08.2006 17:55
Sicherheit....	renzo	PHP Tipps 2005-2	1	27.06.2005 15:53
[Erledigt] Thema Sicherheit?		PHP-Fortgeschrittene	5	05.11.2004 05:43
Apache öffentlich machen. Sicherheit?		Server, Hosting und Workstations	3	07.07.2004 03:20
Sicherheit bei URL-Übergabe	pcschröda	PHP-Fortgeschrittene	25	28.06.2004 16:44

27.03.2010, 16:49
beginnerx Neuer Benutzer Registriert seit: 27.03.2010 Beiträge: 5 PHP-Kenntnisse: Anfänger	GET und Sicherheit Hallo! Bin php-anfänger, brauche nur ein paar php funktionen und habe nicht die Zeit mich komplett einzuarbeiten. Jetzt habe ich eine Frage zur Sicherheit in Verbindung mit GET. Vielleicht hat jemand kurz Zeit und Lust mir zu antworten. Habe eine ziemlich lange Auflisten von Bildern und beim Anklicken eines Bildes wird eine xy.php aufgerufen und eine Variable mitübergeben. Die Variable enthält den Namen der dem Bild entsprechenden Textdatei deren Inhalt dann an bestimmten Stellen in der aufgerufenen xy.php angezeigt wird. Also nichts mit Passwörtern oder so. Gibt es dabei gravierende Sicherheitsprobleme (z.B.Manipulation von außen - die angesprochenen Daten liegen ja nur auf meinem Server - oder könnte jemand den Inhalt der Textdateien z.B. ändern ? ) Vielen Dank !


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

27.03.2010, 16:53
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.991 PHP-Kenntnisse: Fortgeschritten	Und wenn wir jetzt ja sagen, was würdest Du dann ohne Wissen um PHP- und Servertechniken damit anfangen wollen? __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

27.03.2010, 17:03
beginnerx Neuer Benutzer Registriert seit: 27.03.2010 Beiträge: 5 PHP-Kenntnisse: Anfänger	Dann würde ich eben die Zeit aufwenden müssen. Hatte gehofft, Antworten zu bekommen nach denen ich eventuelle Sicherheitsprobleme bewerten bzw. einschätzen kann (nach meinem Maßstab).

27.03.2010, 17:16
BlackSpirit Erfahrener Benutzer Registriert seit: 06.04.2009 Beiträge: 251 PHP-Kenntnisse: Fortgeschritten	Du musst die GET Werte überprüfen bevor du mit ihnen weiterarbeitest. Kleines bsp: url.com?id=1234 PHP-Code: `if(is_numeric($_GET['id'])) { //OK } else { //was auch immer... }`

27.03.2010, 18:13
BlackSpirit Erfahrener Benutzer Registriert seit: 06.04.2009 Beiträge: 251 PHP-Kenntnisse: Fortgeschritten	Das kann ich dir nicht sagen da ich dein Script nicht kenne und ohne Grundlagen wird das nix.

27.03.2010, 19:01
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.991 PHP-Kenntnisse: Fortgeschritten	Ja, das kann reichen. Durch Cross site scripting. Dein obiges Beispiel kann auch wunderbar Systemdateien auslesen. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --