include beveiligen

[fsasfsas]

Dag Allemaal

Om herhaling van code (dezelfde code op diverse webpages bedoel ik dan) te voorkomen ben ik een voorstander van include. Ik besef het gevaar daarvan en gebruik daarom een methode om te kijken of de file die ik include ook wel daadwerkelijk de file is die ik bedoel. Ik zet dan in elke te includen file in de eerste regel in commentaar een herkenbaar woord. Vervolgens open ik de file, lees de eerste regel, test of het woord aanwezig is en zo ja, dan include ik de file.
Ik ben altijd in de veronderstelling geweest dat dit veilig is, maar is dat ook zo?

alvast bedankt voor het meedenken.

 

[kenikavanbis]

tja relatief veilig als het echt is dat je het woord hier plaatst zal je het woord moeten veranderen omdat het mogelijks gemakelijk is je domein aan nickname te koppelen.

tja wat doet men zoal in url
http:...
ftp:...
(a:b@c) voor de mensen die het kennen
'injectie
" injectie
'"injectie
diE...-fs
../et?/pa???d voor de mensen die de vraagtekens weten in te vullen

maar wat je kan moet doen is controleren met validatie en een grappig niet aanvallende melding geven

maar ja ze proberen meestal naar buiten te lopen al dan niet met ip ectra

 

[fsasfsas]

Hoe kun je een include het beste valideren? her en der wordt aanbevolen om te testen op de correcte filename maar als die achterhaald wordt is het toch een koud kunstje om een vervelende file in plaats van de originele te zetten of aan te laten roepen? vandaar dat ik ervoor gekozen had de inhoud van de file te testen.
Hoe kan ik dan het beste een include valideren?

groetjes, Anjo

 

[kenikavanbis]

nu stel je gaat

include("vastpath".include."vasteigenextendtie");
heb je het probleem dat men een dubbel punt comma en @

dus je mag nooit een @ gebruiken of toelaten te gebruiken in die include
geen " geen , en geen ; dit zijn de belangerijkste

 

[fsasfsas]

dank je wel!