../ blockieren PHP

DD_ · 23. August 2015

Hallo liebe Community,

ich habe ein Problem auf meiner Webseite. Ich habe die Seiten im Ordner "pages" gespeichert. Sie haben die Endung .php. Problem ist, andere können in die URL schreiben: "index.php?page=../index" und bekommen den ganzen Code der index.
Ich möchte die Seiten aber mit der Endung .php lassen. Wie kann ich das "../" in der URL blockieren?

MfG DD_

H4rd_B4se · 23. August 2015

http://php.net/manual/de/function.strpos.php
Damit suchen ob es vorkommt und dann irgendwo umleiten oder einen Warning anzeigen lassen

DD_ · 23. August 2015

Nur um sicher zu gehen, kann jemand auch was anderes schreiben außer "../" um den Index code zu bekommen?

H4rd_B4se · 23. August 2015

Zitat von DD_

Nur um sicher zu gehen, kann jemand auch was anderes schreiben außer "../" um den Index code zu bekommen?

PHP Code nicht, aber den HTML Code, den dein Browser braucht um die Seite anzuzeigen, kann auch jeder Benutzer sehen.

Beispiel:
Der Benutzer sieht nicht wenn du eine Session startest (im Code sieht er es nicht. War vielleicht kein gutes Beispiel xD )

<div class="main"><h3>Hallo</h3></div> kann er aber sehen

DD_ · 23. August 2015

Ich habe jetzt das strpos eingefügt, man kann aber immernoch auf die datei zugreifen.

Code

function getPage($pagename)
	{
		$ff = "pages/$pagename.html";
		$block = "../";
		$pos = strpos($pagename,$block);
		if($pos == false)
		{
			if(file_exists($ff))
			{
				return openPage($ff);
			}else{
				return openPage("pages/default.html");
			}
		}else{
			return openPage("pages/default.html");
		}
	}

Alles anzeigen

In dem Beispiel kann man die "test.html" immer noch öffnen

H4rd_B4se · 23. August 2015

Dann hast du meinen Link wohl nicht komplett gelesen.

Zitat

Benutzen Sie deshalb den === Operator, um den Rückgabewert dieser Funktion zu überprüfen.

linux_ · 23. August 2015

Reguläre Ausdrücke verwenden und nicht so einen Quatsch.

PHP

<?php
 if (preg_match('/^[a-zA-Z0-9]+$/', $der_zu_ueberpruefende_string)) {
 	echo 'valid';
 }
 else {
 	echo 'invalid';
 }
?>

Keine Ahnung was Du alles erlauben willst, mach am besten mal ein Beispiel.

Developer · 23. August 2015

Noch besser ist ne Whitelist oder direkt ein Routing System.

DD_ · 23. August 2015

Funktioniert jetzt. Ich habe bloß ein Probem. Ich kann die PHP Sachen auf der geladenen Seite nicht benuten. Hier der ganze functions code:

PHP

<?php 
	function getPage($pagename)
	{
		$ff = "pages/$pagename.php";
		$block = "../";
		$pos = strpos($ff,$block);
		if($pos == false)
		{
			if(file_exists($ff))
			{
				return openPage($ff);
			}else{
				return openPage("pages/default.php");
			}
		}else{
			return openPage("pages/default.php");
		}
	}

	function openPage($pageurl)
	{
		$fv = fopen($pageurl, "r");
		$fs = fread($fv,filesize($pageurl));
		fclose($fv);
		return $string;
	}
?>

Alles anzeigen

Wenn ich auf der Seite beispielweise das schreibe:

Code

echo("<script>alert('test');</script>");

wird auf der Seite "alert('test');" geschrieben

Developer · 23. August 2015

mach statt fopen /fread nen include... dann führt er es auch aus

Capture · 18. Oktober 2015

Da stimme ich @Developer. Du machst es dir unnötig schwer.
Ich verwende für das "Page-System" immer nur diese 2 Zeilen, und hatte nie wirklich Probleme gehabt.

PHP

$openPage = "pages/".$_GET['p'].".page.php";
include(file_exists($openPage) ? $openPage : "pages/404.php");

breadfish.de 12. März 2022