Ergebnis 1 bis 9 von 9

Thema: Sicherheitsrisiko beim Nutzen von file_get_contents() ?

  1. #1
    Meister(in) Avatar von Teron Gerofied
    Registriert seit
    26.01.2008
    Ort
    serverraum
    Alter
    26
    Beiträge
    347
    Danke
    0
    Bekam 1 mal "Danke" in 1 Posting

    Standard Sicherheitsrisiko beim Nutzen von file_get_contents() ?

    Hallo,

    ich wollte mal schnell in den Raum fragen: Ich nutze zum ersten Mal file_get_contents() und möchte wissen, ob es dabei für meinen Server ein potenzielles Sicherheitsrisiko (Injections, XSS, etc...) gibt - die Sache ist die, dass in weiterer Folge die Benutzer der Seite die aufzurufende Adresse selber wählen können (ist so eine Art Preview für andere Websites) -> Script Tags Streiche ich natürlich raus...

    Weiß da jemand bescheid ?

    Lg
    Achtung: Dies ist ein alter Thread im HTML und Webmaster Forum
    Diese Diskussion ist älter als 90 Tage. Die darin enthaltenen Informationen sind möglicherweise nicht mehr aktuell. Erstelle bitte zu deiner Frage ein neues Thema im Forum !!!!!
    PHP-Code:
    if(isset($this) || !isset($this)){ // that's the question... 

  2. #2
    Kaiser(in)
    Registriert seit
    29.03.2009
    Ort
    1011 1111 1011 WorldWideWeb
    Beiträge
    2.439
    Danke
    2
    Bekam 6 mal "Danke" in 6 Postings

    Standard AW: Sicherheitsrisiko beim Nutzen von file_get_contents() ?

    Soweit ich weiss, kann file_get_contents() auch auf http:// adressen zugreiffen. Demnach hast du natprlich XSS gefahr. Aber solange du den rückgabewert der funktion nicht gerade ausführst oder in einen DB-Query einbaust, sollte das für deinen Server sicher sein.
    Der, der weiß dass er nichts weiß, weiß mehr als der, der nicht weiß, dass er nichts weiß.
    Wer nach etwas fragt, geht grundsätzlich das Risiko ein, es auch zu bekommen!

  3. #3
    Meister(in)
    Themenstarter
    Avatar von Teron Gerofied
    Registriert seit
    26.01.2008
    Ort
    serverraum
    Alter
    26
    Beiträge
    347
    Danke
    0
    Bekam 1 mal "Danke" in 1 Posting

    Standard AW: Sicherheitsrisiko beim Nutzen von file_get_contents() ?

    Eigentlich sollte doch aber die Gefahr von XSS nicht gegeben sein, wenn ich per REGEX alle Scripts herausstreiche, bevor ich das ganze darstelle ?
    PHP-Code:
    if(isset($this) || !isset($this)){ // that's the question... 

  4. #4
    Jedi Ritter Avatar von Dodo
    Registriert seit
    26.04.2008
    Ort
    Wien
    Alter
    27
    Beiträge
    3.774
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings
    Blog-Einträge
    1

    Standard AW: Sicherheitsrisiko beim Nutzen von file_get_contents() ?

    Nur, damit ich das richtig verstehe: Du willst, dass der Benutzer eine Adresse http://www.example.org in deiner Seite aufruft?

    Falls es das ist, sieh dir an, wie ich es gelöst habe:
    http://dodo.bplaced.net/links/

    Falls nicht, kläre mich bitte auf.
    Something big is coming. And there will be pirates and ninjas and unicorns...

  5. #5
    Meister(in)
    Themenstarter
    Avatar von Teron Gerofied
    Registriert seit
    26.01.2008
    Ort
    serverraum
    Alter
    26
    Beiträge
    347
    Danke
    0
    Bekam 1 mal "Danke" in 1 Posting

    Standard AW: Sicherheitsrisiko beim Nutzen von file_get_contents() ?

    Genau, Seite einbinden aber Frames und iFrames vermeiden.
    PHP-Code:
    if(isset($this) || !isset($this)){ // that's the question... 

  6. #6
    Jedi Ritter Avatar von Dodo
    Registriert seit
    26.04.2008
    Ort
    Wien
    Alter
    27
    Beiträge
    3.774
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings
    Blog-Einträge
    1

    Standard AW: Sicherheitsrisiko beim Nutzen von file_get_contents() ?

    Wieso vermeiden? O.o

    Frames sind nicht die Wurzel alles Bösen.
    Frames sind GENAU dafür da! Das hier ist die einzige Existenzberechtigung für Frames.

    Websites laden und in deinen eigenen Quellcode einfügen geht stark in Zueigen machen, fremden Eiegntums. Ich würde es nicht wollen, dass mein Quellcode in fremden Seiten dargestellt wird. Frame ja, aber reinladen, nein. Da bestehen zu viele Veränderungsmöglichkeiten.

    Ein weiterer Pluspunkt für Frames in diesem Zusammenhang: Ein wichtiges Gütekriterium einer jeden Anwendung ist die Einfachheit und Flexibilität des Codes - und das ist mit Frames jedenfalls gegeben.
    Something big is coming. And there will be pirates and ninjas and unicorns...

  7. #7
    Kaiser(in)
    Registriert seit
    29.03.2009
    Ort
    1011 1111 1011 WorldWideWeb
    Beiträge
    2.439
    Danke
    2
    Bekam 6 mal "Danke" in 6 Postings

    Standard AW: Sicherheitsrisiko beim Nutzen von file_get_contents() ?

    Doch, leider gibts da extrem viele XSS-Möglichkeiten.
    z.B.
    HTML-Code:
    <!-- http://www.meinspace.bla/böse.php -->
    <a href="#" onmouseover="stielAlleCookies();sendeSiePerAjaxZurück();">klick mich!</a>
    Und kabuum, ich hab alle cookies vom user und kann mich evtl. einloggen. Und durch das entfernen von onmouseover/onclick-events beeinträchtigst du möglicherweise die funktionalität. Sicherheitslücke gegen den Benutzer.
    Der, der weiß dass er nichts weiß, weiß mehr als der, der nicht weiß, dass er nichts weiß.
    Wer nach etwas fragt, geht grundsätzlich das Risiko ein, es auch zu bekommen!

  8. #8
    Jedi Ritter Avatar von Dodo
    Registriert seit
    26.04.2008
    Ort
    Wien
    Alter
    27
    Beiträge
    3.774
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings
    Blog-Einträge
    1

    Standard AW: Sicherheitsrisiko beim Nutzen von file_get_contents() ?

    Nachtrag: Frames beseitigen alle Sicherheitslücken, weil die eingebundene Seite nicht auf Seiten mit fremder Domain zugreifen kann.
    Something big is coming. And there will be pirates and ninjas and unicorns...

  9. #9
    Meister(in)
    Themenstarter
    Avatar von Teron Gerofied
    Registriert seit
    26.01.2008
    Ort
    serverraum
    Alter
    26
    Beiträge
    347
    Danke
    0
    Bekam 1 mal "Danke" in 1 Posting

    Standard AW: Sicherheitsrisiko beim Nutzen von file_get_contents() ?

    Okay, überzeugt von Frames, danke
    PHP-Code:
    if(isset($this) || !isset($this)){ // that's the question... 

Ähnliche Themen

  1. strpos, substr & file_get_contents
    Von XantypiaxD im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 3
    Letzter Beitrag: 27.08.2011, 12:31
  2. file_get_contents cached ausgabe...
    Von MyXoToD im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 5
    Letzter Beitrag: 19.09.2010, 18:19
  3. PHP dynamisch nutzen
    Von Unregistriert im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 1
    Letzter Beitrag: 16.10.2008, 19:42
  4. Dateien gemeinsam nutzen
    Von Martin der Ahnungslose im Forum Computer - Internet Forum
    Antworten: 1
    Letzter Beitrag: 22.04.2007, 19:02
  5. Linksys WRT54G als AP nutzen
    Von kensworld im Forum Computer - Internet Forum
    Antworten: 0
    Letzter Beitrag: 03.10.2006, 12:10

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •