---

Hej hej

PHP koden i index-filen.

include($id);

Hvordan vil I sikre imod, at $id ikke indeholder et eksternt link.
Dette er forsøgt: if (stristr($id, 'http') == TRUE) { exit("Hacking -
STOP!!"); }
Forsøget virker i en browser, men stopper ikke imod phishing

Hilfe - bitte

---

Guffi skrev:

> include($id);

> Hvordan vil I sikre imod, at $id ikke indeholder et eksternt link.

Det ville være en fordel hvis du beskrevhvordan $id får sin
værdi, men jeg formoder at den angives af brugeren (direkte eller
indirekte).

Min generelle metode til den slags er at lave et array med de
mulige værdier og så tjekke at den angivne værdi er element deri.


--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen wrote:
> Guffi skrev:
>
>> include($id);
>
>> Hvordan vil I sikre imod, at $id ikke indeholder et eksternt link.
>
> Min generelle metode til den slags er at lave et array med de
> mulige værdier og så tjekke at den angivne værdi er element deri.

Alternativt en regular expression der f.eks. kun giver lov at loade
værdier hvor der indgåer a-z og 0-9 ellerlign...

mvh
Johan

---

Johan Holst Nielsen skrev:

> Alternativt en regular expression der f.eks. kun giver lov at loade
> værdier hvor der indgåer a-z og 0-9 ellerlign...

Den anden metode dokumenterer sig selv i koden og er mange gange
nemmere at bruge i hvert fald for en begynder. Derudover spærrer
den også for opdigtede navne der måtte følge de 'regulære regler'
man har opstillet.

Men selv har jeg kun et lidt overfladisk kendskab til regulære
udtryk selv om det er mange år siden jeg stødte på dem første
gang.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen wrote:
> Johan Holst Nielsen skrev:
>
>> Alternativt en regular expression der f.eks. kun giver lov at loade
>> værdier hvor der indgåer a-z og 0-9 ellerlign...
>
> Den anden metode dokumenterer sig selv i koden og er mange gange
> nemmere at bruge i hvert fald for en begynder. Derudover spærrer
> den også for opdigtede navne der måtte følge de 'regulære regler'
> man har opstillet.

Nu afhænger det meget at siden - men hvis er f.eks. tit uploades nye
filer der skal tilføjes array'et kan det blive noget bøvl. Ikke at jeg
ikke er tilhænger af den - det afhænger meget af casen. På en side med
4-5 sider (eller flere) hvor der sjældent tilføjes nye sider - så er det
en fin løsning - men det er en belastende løsning hvis der tit tilføjes
nye filer...

Omkring opdigtede navne. Det er selvfølgeligt vigtigt at lave et
regulære udtryk således der ikke er sikkerhedsbrister - f.eks. ved at
man kan læse systemfiler eller lign...

OMkring opdigtede navne? Er det du tænker på hver fejl ved include'en
pga. den ikke eksiteter? I så fald smider man den blot gennem en if med
file_exists inden man laver includen.

mvh
Johan

---

Johan Holst Nielsen skrev:

> Nu afhænger det meget at siden - men hvis er f.eks. tit uploades nye
> filer der skal tilføjes array'et kan det blive noget bøvl.

Ikke hvis man kun selv oploader dem:

   $include_array=glob('*.inc');

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen wrote:
> Johan Holst Nielsen skrev:
>
>> Nu afhænger det meget at siden - men hvis er f.eks. tit uploades nye
>> filer der skal tilføjes array'et kan det blive noget bøvl.
>
> Ikke hvis man kun selv oploader dem:
>
>    $include_array=glob('*.inc');

Det er så helt rigtigt - det er en metode at gøre det på også :)

Mvh
Johan