phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Script nicht erlauben, auf einen Ordner zuzugreifen?

https://www.phpbb.de/community/viewtopic.php?t=149096

Seite 1 von 1

Script nicht erlauben, auf einen Ordner zuzugreifen?

Verfasst: 27.05.2007 13:08
von Asmodiel
Hi!
ich hab ne Frage:
Ich habe ein Script entwickelt, dass mir alle Bilder aus dem Ordner phpBB/images aufruft. Nur dass ich in diesem Ordner auch Unterordner hab, wie avatars/. Die Ordner werden per get (list.php?dir=avatars/) weitergegeben.
Das Problem liegt in der Sicherheit des Scripts. Ich will nicht, dass jemand bei der manuellen eingabe von z.B. dir=../ auf mein phpBB-root verzeichniss und alle anderen auch zugreifen kann. wie kann ich das verbieten?
vllt mit preg_split('XXXX', $_GET['dir']); ?
nur das xxx auf das komm ich nicht. wenn ich .. eingebe, splittet er mir jeden buchstaben aus, wenn ich / oder . eingebe, kommt nichts, und bei ../ genauso.

gibt es eine funktion, die den anfang der variable ausgibt? also nur die ersten 3 zeichen?

Verfasst: 27.05.2007 13:14
von fanrpg

Code: Alles auswählen

if( !preg_match('/\.\.\//', $_GET['dir']) )
// Oder
if( !stristr($_GET['dir'], '../') )
Um zu verhindern das ../ nicht in der $_GET Variable vorkommen.
Desweiteren würde ich sowas auch noch für HTTP, HTTPs, usw. prüfen.

Verfasst: 27.05.2007 13:20
von Asmodiel
alles klar, ich habs jetzt so gemacht:

Code: Alles auswählen

if( preg_match('/\.\.\//', $_GET['dir']) OR preg_match('/\.\./', $_GET['dir']) )
{ die('Kein Zugriff auf das Verzeichniss!'); }
und es geht, das zweite ist deswegen, da das verzeichnis auch über $dir=.. aufgerufen werden konnte ;)
auf jeden fall kommt da keiner mehr ran. und mit einem punkt (und/oder slash) kommt man aufs images verzeichnis ;)
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de