PHP oder HTML +- Sponsor-Board.de (https://www.sponsor-board.de) +-- Forum: Community (/forumdisplay.php?fid=56) +--- Forum: Hilfe (/forumdisplay.php?fid=102) +---- Forum: Scripting (/forumdisplay.php?fid=108) +---- Thema: PHP oder HTML (/showthread.php?tid=23804) |
PHP oder HTML - Defkil - 26.03.2012 14:20 Hey, ich wollte mal fragen, was besser ist: HTML in .html lassen oder Das ganze in PHP und mit der GET Methode die weiteren Seiten laufen lassen Was ist Sicherer, was ladet schneller/besser. THX im vorraus! RE: PHP oder HTML - _DEL6825 - 26.03.2012 14:23 - RE: PHP oder HTML - _DEL4912 - 26.03.2012 14:24 - RE: PHP oder HTML - _DEL6825 - 26.03.2012 14:26 - RE: PHP oder HTML - keving - 26.03.2012 14:34 gmspace schrieb: Mach es so:
PHP-Code: <?php
Wenn man dann macht: index.php?site=lol, dann wird die Datei "lol.php" an der Stelle "includet", wo dieser Code steht.
RE: PHP oder HTML - _DEL6825 - 26.03.2012 14:41 - RE: PHP oder HTML - Sysix - 26.03.2012 14:46 Wenn man index.php?site=test eingibt kommt nen fehler raus nur so als info Du musst dann noch abfragen ob die Datei existiert und ob sie auch eine Seitedatei ist (am besten ein array mit Systemdaten machen und abfragen ob die Seite im array nicht vorhanden ist) RE: PHP oder HTML - keving - 26.03.2012 14:49 Du überprüfst damit die GET Variable nicht ausreichend und man kann daher jeden beliebigen Pfad angeben. So wäre es möglich eine so genannte Shell einzubinden, mit der alles möglich wäre (Hochladen, löschen, ändern von Dateien, MySQL Datenbank einsehen, etc.). Eine sichere Methode wäre das hier: PHP-Code: <?php
Man müsste vorher alle erlaubten Seite in der Whitelist eintragen und nur diese sind dann erlaubt.
RE: PHP oder HTML - Kalle - 26.03.2012 14:49 Wäre es nicht besser, das so zu schreiben? Erspart man sich die Arbeit, alles in ein Array einzutragen PHP-Code: <?php
Code: index.php?site=./config.php
aufruft, die Config.php includen, womöglich noch anderes. Bestes Beispiel sind dann immer Linux Systemdateien, etc. wenn der Webspace nicht abgesichert ist. RE: PHP oder HTML - Sysix - 26.03.2012 16:06 Zitat: Wäre es nicht besser, das so zu schreiben? Erspart man sich die Arbeit, alles in ein Array einzutragen Wink
RE: PHP oder HTML - Kalle - 26.03.2012 16:11 Sysix schrieb: Und was ist wenn du einen link wie seite wie forum_board oder so hast ? ich würde noch unterstirch gelten lassen
RE: PHP oder HTML - KoKsPfLaNzE - 26.03.2012 16:17 Also ich habe mir angewoehnt das alles zend machen zu lassen laeuft am ende ueber einen rewrite aber hast am ende großen vorteil mit der lesbarkeit deiner website, wegen den controllern und den actions. RE: PHP oder HTML - master bratack - 26.03.2012 17:07 lass es in html, bevor du rumpfuschst. Wie schon vorher erwähnt, sind LFI sehr sehr sehr sehr sehr sehr sehr sehr gefählich. ich sagte nur shadow bzw passwd datei RE: PHP oder HTML - KoKsPfLaNzE - 26.03.2012 17:23 wenn aber alles in html schreibst kannst es eigendlich gleich sein lassen du hast ja null dynamischen inhalt drin und darfst bei einer Änderung das überall nach ziehen, oder du baust für eine teilweise dynamik auf JavaScript. RE: PHP oder HTML - Defkil - 27.03.2012 05:41 Ich habe so ein Script bei einer anderen Seite gefunden: PHP-Code: <?PHP
Wäre der "gefährlich"? Oder soll ich lieber das mit der Whitelist ect. nehmen?
RE: PHP oder HTML - Kalle - 27.03.2012 06:49 Sogesehen schon. Stell dir vor, jemand gibt Code: ../config.php
ein, dann wird der Pfad zu ./pages/../config.php, und das wiederum hätte (zumindestunter Linux) den Effekt, das du die Config.php im Hauptverzeichnis aufrufst. RE: PHP oder HTML - Defkil - 27.03.2012 07:02 Ich habe bei einen Free Template das rauskopiert, da das die meisten besitzen (Eins der wenigen Minecraft Templates) Werde aber für meine wahrscheinlich deins nehmen RE: PHP oder HTML - Mave1993 - 27.03.2012 07:14 Ich emPfehle die php Version da sich Änderungen am Design weit aus einfacher gestalten RE: PHP oder HTML - master bratack - 27.03.2012 07:45 klar ist die version gefährlich. nehmen wir an die version läuft auf debian und liegt im ordner /var/www/user100 würde jemand Code: index.php?s=../../../etc/passwd%00
das eingeben, würd er die password datei auslesen. RE: PHP oder HTML - Kalle - 27.03.2012 08:27 master bratack schrieb: @Kalle, wenn da jemand ../config.php eingibt, bringt das garnichts, da die datei config.php.php sicher nicht existiert, man müsste ein nullbyte (%00) nach dem .php setzten ODEE man läst das .php gleich weg.
master bratack schrieb: ich finde du verharmlost das extrem.
master bratack schrieb: Wenn man deine beiträge so liest, könnte man dneken, dass man dadurch nur php datei auslesen kann
Siehe Zitat Nr.3, ich habe im letzten Satz erwähnt, das der Zugriff auf Systemdateien möglich ist. sofern man den Webspace falsch konfiguriert hat. Was willst du noch? RE: PHP oder HTML - Defkil - 15.04.2012 09:50 ich bentuze PHP-Code: <?php switch($_GET['site']){
ist doh auch sicher oder?
RE: PHP oder HTML - Novoline - 15.04.2012 10:03 ich mach das immer so: nav.php PHP-Code: ?php
PHP-Code: <li><a href="index.php?start">Startseite</a></li>
RE: PHP oder HTML - Defkil - 15.04.2012 10:03 Sry bin oft am Handy... RE: PHP oder HTML - Big Hosting - 15.04.2012 10:10 PHP-Code: if(isset($_GET["page"]))
RE: PHP oder HTML - Tolive - 15.04.2012 10:11 Sicher sind bisher beide Methoden .... es gibt ja auch nichts was man manipulieren könnte. Sonst kommt es drauf an was in den Dateien steht. Ansonsten ist Defkill's Methode die durchdachtere. Geschwindigkeitstechnisch tun die sich zwar kaum etwas ... aber die von Defkill ist angenehmer zu lesen. RE: PHP oder HTML - Kalle - 15.04.2012 10:12 Die Lösungen sind ja soweit auch korrekt, jedoch kommen wir da in einen Bereich, dass man jedesmal die Dateien editieren und Quellcode hinzufügen muss. Dass macht die Dateien nur unnötig lang und man selber muss bei neuen "Modulen" diese immer wieder eintragen - klingt sogesehen nicht nach viel Arbeit, aber warum umständlich, wenn es auch einfacher geht, so kann man den Quellcode schneller für etwas anderes ebenfalls benutzen (Usability)?! Ich verwende derzeit für ein ziemlich neues Projekt erstmal folgendes: PHP-Code: if(isset($_GET['page']) AND !empty($_GET['page']) AND preg_match('/^[a-zA-Z0-9_\-]+$/i',$_GET['page']) !== 0)
[Link: Registrierung erforderlich] RE: PHP oder HTML - coloskopie - 15.04.2012 10:16 Die Methode von Defkill ist die einzig wirklich sichere...alles andere ist Müll! RE: PHP oder HTML - Tolive - 15.04.2012 10:17 Deine Methode stand da noch nicht als ich angefangen bin zu schreiben ^^. Ansonsten würde ich die auch nicht miteinander vergleichen wollen. Die Methode von Defkill ist für Anfänger die beste wahl. Denn sie ist sicher und relativ performant. @coloskopie: Das stimmt nicht ... bei größeren Projekten kann man halt nicht alles statisch machen. Ansonsten gibt es noch bessere Methoden ... was aber in der Erklärung jetzt den Rahmen sprengen würde. Das wbb3 ist z.B. ein gutes Beispiel. RE: PHP oder HTML - _DEL3891 - 15.04.2012 11:35 - RE: PHP oder HTML - coloskopie - 15.04.2012 11:41 Tolive schrieb: Deine Methode stand da noch nicht als ich angefangen bin zu schreiben ^^.
Ansonsten würde ich die auch nicht miteinander vergleichen wollen. Die Methode von Defkill ist für Anfänger die beste wahl. Denn sie ist sicher und relativ performant. @coloskopie: Das stimmt nicht ... bei größeren Projekten kann man halt nicht alles statisch machen. Ansonsten gibt es noch bessere Methoden ... was aber in der Erklärung jetzt den Rahmen sprengen würde. Das wbb3 ist z.B. ein gutes Beispiel.
RE: PHP oder HTML - Kalle - 15.04.2012 12:31 coloskopie schrieb: Die Methode von Defkill ist die einzig wirklich sichere...alles andere ist Müll!
|