/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
If.. include side
Fra : Martin


Dato : 19-04-01 14:56

<?
if($url == "") {
$url = "start.php3";
}
?>

Tjaaa jeg lavede lige denne lille stump kode...
Det er nok helt forkert... for den skal nemlig KUN includeres...!

<?
if($url == "") {
$url = "include('start.php3');";
}
?>

Prøvede også med dette her, men det funger ik..
Ingen fejl, men heller ingen tekst


--
Bye for now Martin
http://www.lsv18.f2s.com
Email: martini@mailme.dk

 
 
Mads Jensen (19-04-2001)
Kommentar
Fra : Mads Jensen


Dato : 19-04-01 15:08

> <?
> if($url == "") {
> $url = "include('start.php3');";
> }
> ?>

hvad med dette:

<?php
if($url = ''){
$url = "start.php3";
include($url);
}



--
Med venlig hilsen/ Best regards
Mads Jensen
Homepage: http://www.mjensen.f2s.com
E-Mail: mads@anything.dk
--


Martin (19-04-2001)
Kommentar
Fra : Martin


Dato : 19-04-01 15:15

>hvad med dette:
>
><?php
>if($url = ''){
> $url = "start.php3";
> include($url);
>}

AVAV...
Parse error: parse error in index.php3 on line 45, som er den linje !


--
Bye for now Martin
http://www.lsv18.f2s.com
Email: martini@mailme.dk

Mickey (19-04-2001)
Kommentar
Fra : Mickey


Dato : 19-04-01 16:25

"Martin" <martini@mailme.dk> skrev i en meddelelse
news:gmstdtoshf4nrorf7suunh55gp3orvql2k@4ax.com...
> >hvad med dette:
> >
> ><?php
> >if($url = ''){
----------^^^^

det går helt galt! - der defineres variablen til at være '' (ingenting), og
så sættes den til...

<?
if($url == ""){
$url = "start.php3";
include "$url";
}

går nok bedre...
- der er også rettet i include tingen.


--
|-|$235-|)k - Mickey
http://www.susie.dk
mickey(at)susie.dk



Martin (19-04-2001)
Kommentar
Fra : Martin


Dato : 19-04-01 18:38

On Thu, 19 Apr 2001 17:25:18 +0200, "Mickey" <news002@susie.dk> wrote:

>"Martin" <martini@mailme.dk> skrev i en meddelelse
>news:gmstdtoshf4nrorf7suunh55gp3orvql2k@4ax.com...
>> >hvad med dette:
>> >
>> ><?php
>> >if($url = ''){
>----------^^^^
>
>det går helt galt! - der defineres variablen til at være '' (ingenting), og
>så sættes den til...
>
><?
>if($url == ""){
> $url = "start.php3";
> include "$url";
>}

Jepper det var bedre... nu kører det på glatis, MEN hvis man åbner
http://localhost/disco2/index.php3?menu2_pop=anmeld
så includer den også anmeld.php3 ?
er der nogen der kan løse det så ?
her er koden hvor den definere om url'en skal åbnes eller hvad den nu
skal

<?
if($url == ""){
$url = "start.php3";
include "$url";
}
else {
$url = "$url";
include "$url";
}
?>


--
Bye for now Martin
http://www.lsv18.f2s.com
Email: martini@mailme.dk

Ghashûl (19-04-2001)
Kommentar
Fra : Ghashûl


Dato : 19-04-01 19:49

On Thu, 19 Apr 2001 19:38:04 +0200, Martin <martini@mailme.dk> wrote:

><?
>if($url == ""){
> $url = "start.php3";
> include "$url";
>}
>else {
>$url = "$url";
> include "$url";
>}
>?>

Hvad med:

<?
if (!$url) {$url="start.php";}
include ($url);
?>

Det bruger jeg selv.

--
Regards Ghashûl
ICQ: 7223six29 † E-mail: stefan at bruhn dot to † URL: http://ghashul.dk/

I demand the right to keep and arm bears

Peter Brodersen (20-04-2001)
Kommentar
Fra : Peter Brodersen


Dato : 20-04-01 02:53

On Thu, 19 Apr 2001 20:48:34 +0200, Ghashûl <look@my-sig.ghashul.dk>
wrote:

><?
>if (!$url) {$url="start.php";}
>include ($url);
>?>
>
>Det bruger jeg selv.

Det er dog et potentielt sikkerhedshul at lade brugeren kunne include
enhver fil på din server.


--
- Pede
Professionel nørd

Ghashûl (20-04-2001)
Kommentar
Fra : Ghashûl


Dato : 20-04-01 05:55

On Fri, 20 Apr 2001 03:52:43 +0200, Peter Brodersen
<professionel@nerd.dk> wrote:

>Det er dog et potentielt sikkerhedshul at lade brugeren kunne include
>enhver fil på din server.

Jep, det tillader jeg dog heller ikke.
Jeg bruger ikke den eksakte kode jeg postede, det var nærmere som et
eksempel.

Jeg bruger
include ("/path/to/includefiles/".$url)

--
Regards Ghashûl
ICQ: 7223six29 † E-mail: stefan at bruhn dot to † URL: http://ghashul.dk/

I demand the right to keep and arm bears

Peter Brodersen (20-04-2001)
Kommentar
Fra : Peter Brodersen


Dato : 20-04-01 06:08

On Fri, 20 Apr 2001 06:54:50 +0200, Ghashûl <look@my-sig.ghashul.dk>
wrote:

>Jeg bruger
>include ("/path/to/includefiles/".$url)

Det ændrer ikke på noget. Så tilføjer jeg blot et passende antal "../"
foran, fx:

.../../../../../../../../etc/passwd


--
- Pede
Professionel nørd

Ghashûl (20-04-2001)
Kommentar
Fra : Ghashûl


Dato : 20-04-01 13:59

On Fri, 20 Apr 2001 07:08:20 +0200, Peter Brodersen
<professionel@nerd.dk> wrote:

>Det ændrer ikke på noget. Så tilføjer jeg blot et passende antal "../"
>foran, fx:
>
>../../../../../../../../etc/passwd

Hvad gør man så når man ikke har lyst til manuelt at skulle indtaste
alle gyldige filer?

--
Regards Ghashûl
ICQ: 7223six29 † E-mail: stefan at bruhn dot to † URL: http://ghashul.dk/

I demand the right to keep and arm bears

Ghashûl (20-04-2001)
Kommentar
Fra : Ghashûl


Dato : 20-04-01 14:00

On Fri, 20 Apr 2001 14:58:55 +0200, Ghashûl <look@my-sig.ghashul.dk>
wrote:

>Hvad gør man så når man ikke har lyst til manuelt at skulle indtaste
>alle gyldige filer?

Glem det, det er bare mig der vrøvler...
Min kode ser således ud:
<?
include ("/path/to/includes/_$url.inc.php");
?>

--
Regards Ghashûl
ICQ: 7223six29 † E-mail: stefan at bruhn dot to † URL: http://ghashul.dk/

I demand the right to keep and arm bears

Mads Lie Jensen (21-04-2001)
Kommentar
Fra : Mads Lie Jensen


Dato : 21-04-01 12:14

On Fri, 20 Apr 2001 14:58:55 +0200, Ghashûl <look@my-sig.ghashul.dk>
wrote:

>>Det ændrer ikke på noget. Så tilføjer jeg blot et passende antal "../"
>>foran, fx:
>>
>>../../../../../../../../etc/passwd
>
>Hvad gør man så når man ikke har lyst til manuelt at skulle indtaste
>alle gyldige filer?

$url = str_replace("/","", $url);

--
Mads Lie Jensen
Mads@gartneriet.dk
ICQ #25478403
http://www.gartneriet.dk

Danni Finne (21-04-2001)
Kommentar
Fra : Danni Finne


Dato : 21-04-01 10:02

> Det ændrer ikke på noget. Så tilføjer jeg blot et passende antal "../"

Kan du vriste en mere skudsikker metode ud af ærmet?

/dafa



Ghashûl (21-04-2001)
Kommentar
Fra : Ghashûl


Dato : 21-04-01 13:52

On Sat, 21 Apr 2001 11:01:30 +0200, "Danni Finne" <danni@finne.dk>
wrote:

>> Det ændrer ikke på noget. Så tilføjer jeg blot et passende antal "../"
>
>Kan du vriste en mere skudsikker metode ud af ærmet?

Jeg vil mene at den som jeg rent faktisk bruger (jeg skulle vænne mig
til ikke bare at prøve at huske men rent faktisk checke hvad det er jeg
bruger) er ret sikker:

<?
include ("/path/to/includes/_$url.inc.php");
?>

--
Regards Ghashûl
ICQ: 7223six29 † E-mail: stefan at bruhn dot to † URL: http://ghashul.dk/

I demand the right to keep and arm bears

Peter Brodersen (21-04-2001)
Kommentar
Fra : Peter Brodersen


Dato : 21-04-01 18:37

On Sat, 21 Apr 2001 11:01:30 +0200, "Danni Finne" <danni@finne.dk>
wrote:

>> Det ændrer ikke på noget. Så tilføjer jeg blot et passende antal "../"
>Kan du vriste en mere skudsikker metode ud af ærmet?

I første omgang sikre, at brugerens henvisning ikke indeholder et
"/"-tegn.

Alternativt en mapping-tabel, hvor det, man ikke angiver, direkte er
et filnavn. Fx:

http://www.domæne.dk/?url=hovedside

<?
switch ($url) {
   case hovedside:
      include("main.php");
      break;

   case adresse:
      include("adresse.php");
      break;

   default:
      include("start.php");
}
?>


--
- Pede
Professionel nørd

Søren Boll Overgaard (21-04-2001)
Kommentar
Fra : Søren Boll Overgaard


Dato : 21-04-01 18:50

On Fri, 20 Apr 2001 06:54:50 +0200, Ghashûl wrote:

> Jeg bruger
> include ("/path/to/includefiles/".$url)

Og hvis jeg så kalder dit script med:
script.php?url=../../../etc/passwd

Hvad sker der så?

--
Søren O.

There are no stupid questions, only inquisitive idiots

Ghashûl (21-04-2001)
Kommentar
Fra : Ghashûl


Dato : 21-04-01 19:10

On 21 Apr 2001 17:50:10 GMT, boll@fw1.dk (Søren Boll Overgaard) wrote:

>Og hvis jeg så kalder dit script med:
>script.php?url=../../../etc/passwd
>
>Hvad sker der så?

Så bliver 404.php inkluderet.
Det var i virkeligheden slet ikke sådan mit script så ud, jeg tog det
bare fra hukommelsen og den var inkorrekt.

Kode der udpiller variablerne fra PATH_INFO:

<?
$variabler = explode("/",$PATH_INFO);
for ($i = 0; $i <= sizeof($variabler)-1; $i++) {
   if ($variabler[$i]) {
   $vars[] = $variabler[$i];
   }
}
unset($variabler);
if (!$vars[0]) {$page="main";} else {$page=$vars[0];}
if ($vars[1]) {$sub = $vars[1];}
?>

Kode der inkluderer filen:

<?
if (file_exists("/path/to/inc/_$page.inc.php")) {
include ("/path/to/inc/_$page.inc.php");
} else {
include ("/path/to/inc/404.php");
}
?>

--
Regards Ghashûl
ICQ: 7223six29 † E-mail: stefan at bruhn dot to † URL: http://ghashul.dk/

I demand the right to keep and arm bears

Martin (19-04-2001)
Kommentar
Fra : Martin


Dato : 19-04-01 18:31

Jeg forklare lige hvad jeg vil have !
hvis index.php3 kaldes uden parameter så skal start.php3 includes
hvis så der er parameteren $url på index.php3 så skal $url includes !

Fejl jeg får når index kaldes med parameter OG uden parameter
Warning: Failed opening 'c:/apache/htdocs/disco2/' for inclusion
(include_path='') in c:/apache/htdocs/disco2/indhold.inc on line 8

Her er min indhold.inc, hvor fejlen nok skal findes..!

<?
if($url = ''){
$url = "$relativsti/start.php3";
include($url);
}
else {
$url = "$relativsti/$url";
include($url);
}
?>


PS. Relativsti har jeg selvfølgelig angivet *korrekt*


--
Bye for now Martin
http://www.lsv18.f2s.com
Email: martini@mailme.dk

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408946
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste