htaccess php-Variablen entfernen

[dertypdernixkan]

solange -selbst mit switch- keine ungefilterten daten aus der url übernommen werden, besteht diese risiko nicht.

ich kann, wenn ich den router aus dem beispiel nutze, was ich übrigens tue, nur den ersten teil der uri prüfen, ist der bsw. http://www.meineseite.tld/user/testuser, schaue ich ob der teil nach .tld ein von von mir eingeplanter paramater ist, ist dies der fall includiere ich die entsprechende datei in welcher ich dann die sicherheitsmaßnahmen durchführe. ergo: kein sicherheitsloch!

und jeder der sich damit befasst, sollte das wissen. darauf wird im unteren abschnitt der tutorials nochmals hingewiesen. wer es nicht beachtet und nur cp nutzt, ist nicht nur selber schuld sondern hat es nicht anders verdient!

 

[j-l-n]

solange -selbst mit switch- keine ungefilterten daten aus der url übernommen werden, besteht diese risiko nicht.

Ja, aber nur dann! Und das hattest du soweit ich es gelesen habe, nirgendwo gesagt. Aus deinen Posts wurde rein gar nichts deutlich, dass du mit switch nur vorgegebene Dateien einbindest. Es klang eher nach

$parameter = $_GET['user'];
include($parameter);

PS: das finde ich jetzt bisschen seltsam...

und jeder der sich damit befasst, sollte das wissen. wer es nicht beachtet und nur cp nutzt, ist nicht nur selber schuld sondern hat es nicht anders verdient!

Und ich weiß ehrlich gesagt nicht, worauf sich

darauf wird im unteren abschnitt der tutorials nochmals hingewiesen.

bezieht.

 

[dertypdernixkan]

Ja, aber nur dann! Und das hattest du soweit ich es gelesen habe, nirgendwo gesagt. Aus deinen Posts wurde rein gar nichts deutlich, dass du mit switch nur vorgegebene Dateien einbindest. Es klang eher nach

$parameter = $_GET['user'];
include($parameter);

das wäre zu viel des guten, der schmale router würde so nur zu einem monster anwachsen. deswegen erfolgt die prüfung der get-parameter tatsächlich erst im entsprechenden doc.

PS: das finde ich jetzt bisschen seltsam...


Und ich weiß ehrlich gesagt nicht, worauf sich

bezieht.

was ist daran seltsam? es bezieht sich darauf, dass man keine ungefilterten variablen übernehmen soll(te).

das bezieht sich auf das verlinkte tutorial, weiter unten steht:

Achtung! Solltet ihr Eingaben aus der URL in die Datenbank bringen (z.B. weil ihr euer Routing in die Datenbank auslagert) solltet ihr unbedingt den Beitrag SQL-Injection vorbeugen lesen!

sowie einen absatz zuvor:

Mit dieser Grundlage könnt ihr durchaus schon ganz gut arbeiten – Für größere Projekte empfehle ich allerdings ein besseres Routing und eine sicherere Grundlage (z.B. ein Framework). Als Grundlage sollte dieser Blog-Eintrag allerdings hervorragend geeignet sein!

wer es also erstmal bis zum schluß liest hat durchaus die möglichkeit diese 2 einträge zu lesen

 

[j-l-n]

Jetzt weiß ich endlich, worum es geht. Ja, im verlinkten Beitrag steht das drin, stimmt - ich meinte aber immer deine Posts, deswegen

 

[kkapsner]

Das Sicherheitsloch hat nichts mit SQL-Injektions, sondern damit zu tun, dass man beliebige Klassen erzeugen kann und dort beliebige Methoden mit einem Parameter aufrufen kann. Je nachdem, welche Erweiterungen auf dem Server installiert sind, kann das verherende Auswirkungen haben (und durch die Fehlermeldung kann man auch noch sehr schön scannen, welche Erweiterungen installiert sind).

Es ist also nicht einmal als Grundlage geeignet!

PS: und der Absatz über das Errorreporting ist hoffentlich nicht wirklich dein Ernst. Im Produktiveinsatz dürfen keinerlei Fehlermeldungen an den Browser rausgehen, es muss aber alles geloggt werden.