Joker: Bildergalerie.. in dieser Form sinnvoll?

Guten morgen!

Ich plane für eine Bildergalerie folgendes:

Alle Bilder sind als kleine Vorschaugrafiken in einer Tabelle angeordnet. Über dieser Tabelle soll das Hauptbild auf klick angezeigt werden. Ich hab das so gelöst:

<!--Hauptbild-->
<img src="ordner/<? echo $id ?>" width="100" height="100" border="0"
<!--//Hauptbild-->

Die Vorschaubilder werden so verlinkt:
<a href="gleicheseite.php?id=bildname.jpg">Link aufs Bild</a>

Haltet ihr das für sinnvoll? Oder sollte der Dateityp nicht mit in der url landen?

Danke schonmal für eure Hilfe

  1. Guten morgen!

    Ich plane für eine Bildergalerie folgendes:

    Alle Bilder sind als kleine Vorschaugrafiken in einer Tabelle angeordnet. Über dieser Tabelle soll das Hauptbild auf klick angezeigt werden. Ich hab das so gelöst:

    <!--Hauptbild-->
    <img src="ordner/<? echo $id ?>" width="100" height="100" border="0"
    <!--//Hauptbild-->

    Die Vorschaubilder werden so verlinkt:
    <a href="gleicheseite.php?id=bildname.jpg">Link aufs Bild</a>

    Haltet ihr das für sinnvoll? Oder sollte der Dateityp nicht mit in der url landen?

    Danke schonmal für eure Hilfe

    warum solte es nicht funktionieren?
    mit meinen becheidenen kenntnissen wüsste ich nicht, warum es nicht gehen sollte, oder probleme hervorrufen könnte!
    ansonsten die bilder in ne array einlesen, und dann die einzelnen teile immer übergeben.

    euer MrScript :)

  2. Hiho,

    <a href="gleicheseite.php?id=bildname.jpg">Link aufs Bild</a>

    Haltet ihr das für sinnvoll? Oder sollte der Dateityp nicht mit in der url landen?

    Du solltest nur sicherstellen, dass die böswilligen Nutzer mit diesem Script nicht jede beliebige Datei auf deinem Server runterladen können.

    Gruß
    Wurf

    1. Hallo!»» Hiho,

      <a href="gleicheseite.php?id=bildname.jpg">Link aufs Bild</a>

      Haltet ihr das für sinnvoll? Oder sollte der Dateityp nicht mit in der url landen?

      Du solltest nur sicherstellen, dass die böswilligen Nutzer mit diesem Script nicht jede beliebige Datei auf deinem Server runterladen können.

      Mit dem Script kann der User jede beliebige Datei runterladen, die er sowieso runterladen darf.
      Es handelt sich hier um keinen php - include Befehl!

      <img src="ordner/<? echo $id ?>" width="100" height="100" border="0"

      Selbst, wenn jetzt in $id "../../topsecret/irgendwas.txt" steht, würde das trotzdem noch ganz normal über den Webserver angefordert werden. Das könnte ich auch ohne das PHP Script anfordern.
      Und wenn die Webserverwurzel überschritten wird, sagt sowieso der Server: Njet!

      Wenn Joker dass genauso implementiert, wie er das geschrieben hat, sehe ich nicht mal ansatzweise ein Sicherheitsproblem. Ich lass mich aber auch gern von etwas anderem überzeugen.

      Problematisch wirds, wenn $id mit include eingebunden werden würde. Dann könnte man theoretisch über die Webserverwurzel hinaus aufs komplette System referenzieren, auf das der jeweilige Serveruser unter dem das PHP Skript läuft, zugriff hat.

      mfg
        frafu

      1. Hi

        <a href="gleicheseite.php?id=bildname.jpg">Link aufs Bild</a>
        Du solltest nur sicherstellen, dass die böswilligen Nutzer mit diesem Script nicht jede beliebige Datei auf deinem Server runterladen können.

        Mit dem Script kann der User jede beliebige Datei runterladen, die er sowieso runterladen darf.
        Selbst, wenn jetzt in $id "../../topsecret/irgendwas.txt" steht, würde das trotzdem noch ganz normal über den Webserver angefordert werden. Das könnte ich auch ohne das PHP Script anfordern.

        nein, was in id steht, ist erstmal keine Anfrage an den Webserver sondern ein Parameter für das PHP-Script. Und dieses kann sehr wohl Dateien öffnen, die der Webserver nicht sieht.

        Und wenn die Webserverwurzel überschritten wird, sagt sowieso der Server: Njet!

        ...der WS ruft ja nur das PHP auf, der Inhalt des Parameters id ist ihm egal.

        Wenn Joker dass genauso implementiert, wie er das geschrieben hat, sehe ich nicht mal ansatzweise ein Sicherheitsproblem. Ich lass mich aber auch gern von etwas anderem überzeugen.

        ist hoffentlich geschehen.

        Gruß
        Wurf