Antworten zum Thema „index.php seiten includieren ohne abfrage ob Seite erlaubt ist.“

ackermaennchen · 17.03.2020

Hi bisher hab ich es immer so gehandhabt das ich in der index abgefragt habe ob die aufzurufende Seite erlaubt ist. Das jetzige Projekt ist hedoch etwas umfangreicher und wenn ich jetzt jede einzelne Datei in der Index listen soll welche abrufbar sein darf bekomme ich glaub ich die Krise.
Gibts da ne andere einfachere Lösung?

bisheriger code:

PHP:

<?php
ini_set('display_errors', 1);
if(!isset($_GET['page'])){

$checkpage = "start";

}else{
 
$erlaubt = array( "start" => 1,
                 "tabelle" => 1,
                 "produkt" => 1,
                 "calendar" => 1,
                
                
                 "./profile/enrack" => 1,
                 "./profile/sebschoe" => 1,
                 "./profile/calangb" => 1,
                 "./profile/ermund" => 1,
                 "./profile/jensra" => 1,
                 "./profile/lurode" => 1,
                 "./profile/nikwad" => 1,
                 "./profile/roschir" => 1,
                 "./profile/tobmai" => 1,
                 "./profile/wilkmudd" => 1,
                 "./profile/stevtit" => 1,
                 "./profile/faalt" => 1,
                 "./profile/uwewin" => 1,
                 "./profile/phischa" => 1,
                 "./profile/paspat" => 1,
                
                 "./profile/spieler" => 1,
                 "./ergebnisse/ergebnis" => 1,
                
                 "impressum"=>1,
                 "datenschutz"=>1,
                
                
                 "haftungsausschluss"=>1,
                 "regeln"=>1,
                 "register"=>1,
                 "ok"=>1,
                 "fehler"=>1,
                 "send_email"=>1,
                 "spielbericht"=>1,
                
                
                
                
                 );
$checkpage = isset($erlaubt[$_GET["page"]]) ? $_GET["page"] : "start";
}
include ($checkpage .".php");
?>

 </div>

Myhar · 18.03.2020

Was willst du mit dem erlaubt überhaupt erreichen? Sollen so 404-Seiten verhindert werden indem du ansonsten die Startpage anzeigst?

ackermaennchen · 18.03.2020

Keine Ahnung, das wurde mir 7m Forum mal vorgeschlagen damit keine fremdseiten mit schadcode eingebunden werden können.

ackermaennchen · 19.03.2020

Irgendwer der mir helfen kann?

Myhar · 19.03.2020

Ich denke da solltest du einen generischen Ansatz wählen. So eine fixe Liste ist für kleine Projekte hilfreich, aber für große Projekte wohl eher nicht wartbar.
Kenne mich mit server eher wenig aus, aber so als Denkansatz: In der htaccess kann man vieles einstellen, da den Zugriff vielleicht nur auf die Folder erlauben wo nötig. Dann die Seiten in einer Datenbank abspeichern, bzw. den Inhalt dynamisch je nach server request holen.

Was genau will man mit so einer "erlaubt" liste denn genau erreichen? Dass ein Hacker eine Seite mit "profil/hacked.php" anlegt und darüber dann Daten abgreift? Wenn er die Seite anlegen kann dann kann er doch auch die erlaubt-liste anpassen?

Würde hier mal nach zeitgemäßen Lösungen suchen wie man server gegen einfache Angriffe schützen kann. Da gibt es bestimmt Lösungen wie Sand am Meer und da sucht man sich dann das raus was für das Projekt passt.

ackermaennchen · 20.03.2020

Ich bräuchte nur erstmal ne Lösung wie ich die Links wie ich sie bisher habe mit z.B. <a href="index.php?page=dateiname>Linkname</a> behalten kann. sprich im Moment ist mir egal was erlaubt ist oder nicht, links sollen klickbar sein und angezeigt werden. im moment wird ja geprüft ob die Seite erlaubt ist und anschließend automatisch .php angehängt. das .php anhängen sollte bleiben, nur die Abfrage sollte entfallen. Ich hab nur keinen Plan wie ich den Code ändern muss damit das funktioniert.

Myhar · 23.03.2020

Dann mach doch einfach

Code:

include ($_GET["page"] .".php");

Wenn man weiß was du willst ist es auch einfacher dir zu helfen

ackermaennchen · 23.03.2020

Ich weiß das ich bestimmt nerve.... Das haut ja gut hin, aber wie bekomme ich jetzt die "start.php" in der index angezeigt. hab jetzt mehrere Varianten durch, aber das Problem ist dann, das er die Start php auch anschließend unter allen anderen Seiten im Main Div mit anzeigt :confused:

ackermaennchen · 25.03.2020

alles klar habe es... Danke dir vielmal für deine Hilfe und Denkanstöße. Lg