1. Home
  2. Forum

gelöschter Benutzer

PST 1 | Quelltext nicht mit Variablen übergeben

am 08.06.2011, 09:17 Uhr eröffnete folgenden Thread
Sicherheitslücken    1898 mal gelesen    5 Antwort(en).

PHP-Sicherheits Tutorial Teil 1 | Quelltext nicht mit Variablen übergeben

Hallo zusammen,

sorry, dass ich das Thema ( www.seitenreport.de/forum/beitraege/sicherheitsluecken/hacken_lernen_zum_testen_der_eigenen_seiten/seite/3.html ) zwar angestoßen habe, aber dann solange nix dazu schrieb. Hier nun mein erster Beitrag in dieser Reihe.



Quelltext nicht mit Variablen übergeben

Wenn man in einer PHP-Datei mit bestimmten Bedingungen einen Quelltext ausgeben möchte, dann kann man das auf die unterschiedlichste Weise. Bisher habe ich meist aus Faulheit folgendes Konstrukt angewand:


$anzeige =''; // erste Definition der Variable §anzeige
if ($wert === 1) {
$anzeige='

Der Wert stimmt.

';
}
else $anzeige ='';

echo $anzeige;


Da ich nun HTML in der Variable übergebe, kann ich leider auch nicht die Variable gegen einschleusbaren HTML-Code sichern.
Wenn ich aber das selbe ohne HTML in den Variablen schreibe, wäre diese auch sicher prüfbar.


$anzeige =''; // erste Definition der Variable §anzeige
if ($wert === 1) {
$anzeige='Der Wert stimmt.';
}
else $anzeige ='';


if (!empty($anzeige)) {
echo '

'.htmlspecialchars ($anzeige).'

';
}


Das Ergebnis sollte das selbe sein, nur kann ich hier die Variable $anzeige sicher übergeben. Siehe: de.php.net/manual/de/function.htmlspecialchars.php




Stimmt das soweit?
Habt Ihr da andere, bessere Wege?


gelöschter Benutzer
am 08.06.2011, 11:09 Uhr schrieb

Ich versteh dein Problem nicht?

Ich speicher grundsätzlich HTML Quelltext in Variablen, bei Template Systemen geht das auch nicht anders. Entscheident ist wo der Inhalt von $anzeige her kommt und dort muss validiert werden.

Gruß Ultima


gelöschter Benutzer
am 08.06.2011, 11:22 Uhr schrieb

Hallo

Dein jetziges Beispiel würde ich auf diese Zeile reduzieren. Warum noch eine Variable an dieser Stelle herreinnehmen wenn nichts weiter damit passiert.

if ($wert === 1) {echo \'

Der Wert stimmt.

\';}

Unklar ist momentan, wo die andere Variable initiiert wird und ob sie an der Stelle schon existiert und den Wert überhaupt annehmen kann.

Selbst wenn man an der Stelle mit unbekannten Variablen arbeitet, weiss ich jetzt nicht ob es nicht besser wäre isset statt empty zu verwenden.

php.net/manual/de/function.isset.php



Zumindest würde ich mir überlegen ob die else Anweisung in deinen Beispielen Sinn macht.

htmlspecialchars stellt noch einige Parameter zur Verfügung die man anwenden könnte, wenn es wichtig ist.

Gruß
Jörg

matthes
Avatar matthes
Foren Moderator
Evil Genius
Content Halbgott (973 Beiträge)
am 08.06.2011, 12:09 Uhr schrieb matthes

Dein erstes Beispiel ist bereits "sicher", bzw. es ist nicht unsicher. Höchstens die Abfrage von $wert könnte zu Problemen führen, wenn register_globals on ist.
Ansonsten ist $anzeige aber nicht zu verändern, denn Du überschreibst mögliche eingeschleuste Inhalte ja.

Das Beispiel ist in meinen Augen völlig unpassend...

Make Seitenreport great again!
romacron
 JDev Xer
Content Gott (1224 Beiträge)
am 08.06.2011, 14:14 Uhr schrieb romacron

da stimme ich Mattes vollkommen zu, das macht keinen Sinn!

die Ausgabe von "der Wert stimmt" sollte an sich nicht das Problem sein.
intern musst du nicht schauen ob $anzeige html tags hat oder nicht. du hast die Variable selbst erstellt und gefüllt. Auf die $anzeige gibt es von aussen keinen Zugriff

Wichtiger ist hier die variable $wert. Diese wird ausreichend validiert, da sie auch die Typenunterscheidung (int) und 1 hat.

dies ist ein Unterschied zu ( $wert === "1" ) hier wird $wert geprüft ob es 1 ist und ein (string)....

..was hattest du genau vor?


gelöschter Benutzer
am 09.06.2011, 00:02 Uhr schrieb

Ich denke, was er eigentlich meinte ist folgendes:

<?php
$content = $_GET[\'content\'];
$content = \'

\' . $content . \'

\';

print $content;
//htmlspecialchars ist nun nicht mehr möglich, da auch das p-Tag maskiert werden würde.?>

So funktioniert es:
<?
$content = $_GET[\'content\'];
$content = htmlspecialchars($content);

print \'

\' . $content . \'

\';
?>

P.S: Das Syntax-Highlighting für PHP funktioniert nicht richtig.

  • 1


« zurück zu: Sicherheitslücken

Das Seitenreport Forum hat aktuell 5272 Themen und 36104 Beiträge.
Insgesamt sind 496 Mitglieder registriert.
Neueste Beiträge
Neueste Themen
14.03.2025, 15:04 Uhr
Bitte um Vorschläge zu meiner Website
Moin, nach einer Überarbeitung ist jetzt unsere neue Seite…
erstellt von: jensbehre
06.12.2024, 16:34 Uhr
Unsere Webseite – Eure ehrliche Meinung ist gefragt!
Hallo zusammen, nach einer längeren Zeit, in der wir uns…
erstellt von: forum
23.10.2024, 17:39 Uhr

Es ist frustrierend, wenn Chrome Änderungen an CSS nicht…
erstellt von: demyzi598
SEO Artikel
SEO Analyse
Die Seitenreport SEO Analyse analysiert Ihre Website kostenlos in über 100 Analyse-Kriterien.

Jetzt SEO und Website Analyse ausführen