nach Umzug zu netcup: include - Befehlt wird nicht ausgeführt

  • Blöde Frage: Wie generierst Du den eigentlichen Inhalt? Übergibst Du $seite o.ä. ungefiltert an irgendeine include/require Funktion?

    Ja ich denke so wird es gemacht:


    und die jeweils anzuzeigende Sete wird durch parameter s übergeben: https://chemnitz-wetter.de/index.php?s=start


    so zumindest habe ich das verstanden?!

  • PHP
    1. require("$seite.php");

    Das ist definitiv ein Sicherheitsproblem! Ein Angreifer kann damit jede beliebige Datei einbinden. Wenn es die PHP-Konfiguration erlaubt sogar von externen Quellen, wodurch eine Remote-Code-Execution (PHP) möglich wäre. An diese Stelle gehört mindestens ein basename() um das Schlimmste zu verhindern, noch besser eine Whitelist.


    Wer hat die Seite programmiert? Der Code von dem Ding ist wirklich sehr bedenklich und sollte lieber nicht mehr verwendet werden, ohne massive Anpassungen.

  • Also so in etwa :P https://chemnitz-wetter.de/index.php?s=index


    Immerhin wird .php angehangen - aber sowas sollte nicht so gemacht werden, da man über die Manipulation des Parameters beliebige (php)-Dateien includieren kann.

    Aber ich würde jetzt persönlich erstmal sagen: Passt erstmal so; sind zumindest keine Nutzerdaten auf der Webseite. Wenn die gehackt wird, ist das "halb so schlimm"...