PST 1 | Quelltext nicht mit Variablen übergeben
Startbeitrag
Originaler Foreninhalt in modernisierter Darstellung.
PHP-Sicherheits Tutorial Teil 1 | Quelltext nicht mit Variablen übergeben
Hallo zusammen,
sorry, dass ich das Thema ( www.seitenreport.de/forum/beitraege/sicherheitsluecken/hacken_lernen_zum_testen_der_eigenen_seiten/seite/3.html ) zwar angestoßen habe, aber dann solange nix dazu schrieb. Hier nun mein erster Beitrag in dieser Reihe.
Quelltext nicht mit Variablen übergeben
Wenn man in einer PHP-Datei mit bestimmten Bedingungen einen Quelltext ausgeben möchte, dann kann man das auf die unterschiedlichste Weise. Bisher habe ich meist aus Faulheit folgendes Konstrukt angewand:
$anzeige =''; // erste Definition der Variable §anzeige
if ($wert === 1) {
$anzeige='Der Wert stimmt.
';
}
else $anzeige ='';
echo $anzeige;
Da ich nun HTML in der Variable übergebe, kann ich leider auch nicht die Variable gegen einschleusbaren HTML-Code sichern.
Wenn ich aber das selbe ohne HTML in den Variablen schreibe, wäre diese auch sicher prüfbar.
$anzeige =''; // erste Definition der Variable §anzeige
if ($wert === 1) {
$anzeige='Der Wert stimmt.';
}
else $anzeige ='';
if (!empty($anzeige)) {
echo ''.htmlspecialchars ($anzeige).'
';
}
Das Ergebnis sollte das selbe sein, nur kann ich hier die Variable $anzeige sicher übergeben. Siehe: de.php.net/manual/de/function.htmlspecialchars.php
Stimmt das soweit?
Habt Ihr da andere, bessere Wege?
Antworten
5 BeiträgeIch versteh dein Problem nicht?
Ich speicher grundsätzlich HTML Quelltext in Variablen, bei Template Systemen geht das auch nicht anders. Entscheident ist wo der Inhalt von $anzeige her kommt und dort muss validiert werden.
Gruß Ultima
Hallo
Dein jetziges Beispiel würde ich auf diese Zeile reduzieren. Warum noch eine Variable an dieser Stelle herreinnehmen wenn nichts weiter damit passiert. if ($wert === 1) {echo \'
Der Wert stimmt.
\';}Unklar ist momentan, wo die andere Variable initiiert wird und ob sie an der Stelle schon existiert und den Wert überhaupt annehmen kann.
Selbst wenn man an der Stelle mit unbekannten Variablen arbeitet, weiss ich jetzt nicht ob es nicht besser wäre isset statt empty zu verwenden.
php.net/manual/de/function.isset.php
Zumindest würde ich mir überlegen ob die else Anweisung in deinen Beispielen Sinn macht.
htmlspecialchars stellt noch einige Parameter zur Verfügung die man anwenden könnte, wenn es wichtig ist.
Gruß
Jörg
Dein erstes Beispiel ist bereits "sicher", bzw. es ist nicht unsicher. Höchstens die Abfrage von $wert könnte zu Problemen führen, wenn register_globals on ist.
Ansonsten ist $anzeige aber nicht zu verändern, denn Du überschreibst mögliche eingeschleuste Inhalte ja.
Das Beispiel ist in meinen Augen völlig unpassend...
Make Seitenreport great again!
da stimme ich Mattes vollkommen zu, das macht keinen Sinn!
die Ausgabe von "der Wert stimmt" sollte an sich nicht das Problem sein.
intern musst du nicht schauen ob $anzeige html tags hat oder nicht. du hast die Variable selbst erstellt und gefüllt. Auf die $anzeige gibt es von aussen keinen Zugriff
Wichtiger ist hier die variable $wert. Diese wird ausreichend validiert, da sie auch die Typenunterscheidung (int) und 1 hat.
dies ist ein Unterschied zu ( $wert === "1" ) hier wird $wert geprüft ob es 1 ist und ein (string)....
..was hattest du genau vor?
Ich denke, was er eigentlich meinte ist folgendes: <?php
$content = $_GET[\'content\'];
$content = \'
\' . $content . \'
\';print $content;
//htmlspecialchars ist nun nicht mehr möglich, da auch das p-Tag maskiert werden würde.?>
So funktioniert es:
<?
$content = $_GET[\'content\'];
$content = htmlspecialchars($content);
print \'\' . $content . \'
\';
?>P.S: Das Syntax-Highlighting für PHP funktioniert nicht richtig.