include() en beveiliging

Pershing · **Geplaatst:** 20 Dec 2006 17:24

als ik een include() gebruik om pagina's in te laden met nen GET is dit naar het schijnt nogal gevaarlijk vermits iedereen alles in den url kan zette.

Nu om dit wat te beveiligen heb ik de pagina's die include worden in een apparte map gezet (dus include($map/..)) en de pagina's die mogen geladen worden in een array gezet.

Nu dit werkt alle 2, maar ik vroeg me af of die 2 controles nodig zijn of dat 1 van de 2 meer dan genoeg is?

To · **Geplaatst:** 20 Dec 2006 19:22

In een array aangeven welke pagina's mogen geinclude worden is veilig genoeg. Wat je ook kan doen, is enkel "relatieve" includes toelaten (alles binnen je public_html-folder). Dat kan je doen met iets als:

Code:

<?php

if (isset($_GET['pagina'])) {
  // kijken welke pagina moet worden ingevoegd
  $pagina = $_GET['pagina'];
} else {
  // indien geen pagina opgegeven, de standaard pagina tonen
  $pagina = "home.php";
}

if (ereg("http://",$pagina)) {
  // in $pagina komt een http:// voor: blokkeren
  die("Illegale include");
} else {
  // de variabele $pagina lijkt veilig: invoegen
  include($pagina);
}

?>

Je kan hier natuurlijk nog veel verder in gaan (bijvoorbeeld enkel pagina's die eindigen op "htm" of "php" toelaten).

To

Dries · **Geplaatst:** 21 Dec 2006 18:51

Voor 100% veiligheid zou ik dat op een andere manier doen.

Gewoon steek alle toegelaten bestanden in een array en kijk dat enkel die mogen worden geinclude, of doe het wet een switch.

Je kan dan ook nog zorgen dat de bestanden apart niet kunnen worden opgevraagd door een if controle op url of er een globale var is...

Scoutnet vzw

include() en beveiliging

Wie is er online?