Sql-Injection bei include ?

und wie das anfällig ist!
übergiebt man als parameter: ../index.php und schon ist die ganze seiten-struktur im a****

machs am besten so:

$file = htmlentities($_GET['include']);
switch ($file) {
case 'gbook':
$include = 'gbook.php';
break 1;
default:
$include = 'home.php';
break 1;
}
require('include/'.$include);

noch zwei tipps: verwende wenn möglich diese konstruktion:
'text '.$variable.' text'
sie läuft minimal schneller und ist weniger fehleranfällig als die hier:
"text $variable text"

Seit wann benutzt SQL-Injection die include-funktion? O.o

es IST minimal schneller ich habe gelesen ein großes projekt, dass mit der zweiten syntax arbeitete lief schneller nachdem auf die erste syntax umgestellt wurde. Grund:
bei " muss er die gesamte ersetzungs-funktion durchlaufen lassen mit fehleranfällig meine ich, dass z.b. eine variable schneller falsch geschrieben wird, hätte man z.b. bei meinem beispiel ein leerzeichen vergessen würde er nach der variable "variabletext" suchen

ich habe das sql einfach aus dem zusammenhang gestrichen, da es hier nicht hingehört und mich nur auf seinen post bezogen, nicht auf den titel

Davon abgesehen sollte diese Praxis alleine der Übersicht für die Programmierer immer eingehalten werden. Unser Architekt würde uns erschlagen, wenn wir anfangen würden in Strings einfach Variabeln zu verwenden.

ja es ist extrem anfällig und ja es war absolut klar dasses das ist.
nimm einfach die switch-methode die ist sehr sicher

ich kontaktier dich via icq...

Zitat von Greg10

ja es ist extrem anfällig und ja es war absolut klar dasses das ist.
nimm einfach die switch-methode die ist sehr sicher

Greg10, das ist doch kompletter Schwachsinn. Er fragt nach SQL-Injection und nicht nach "Wie verhunzen mir boese Menschen mein Design". Man kann in einer Include-Answeisung keine SQL-Anweisung an deine Datenbank schicken, es sei denn man includet eine boese Datei, die ein Hacker irgendwie auf deinen Server geschmuggelt hat.
Du musst also sicher gehen, dass die aufgerufene Datei auch eine ganz ganz liebe und nette Datei ist. Du kannst zum Beispiel ein Array mit den erlaubten Dateinamen erstellen und ueberpruefen, ob die Datei existiert UND in dem Array vorhanden ist (in_array()).

ich denke er hat sich einfach nur im titel bvergriffen, da der post sich in keinster weise auf sql bezeiht und das mit der überprüfung ob die datei "lieb und nett" ist hab ich ihm via icq erklärt

Es ist einfach anfällig, weil der Benutzer das Script kontrollieren kann. Er kann beliebige Dateien vom Server einbauen, das http://www.xxx.de am Anfang erhöht die Sicherheit zumindest dahingehend, dass keine Geschützten Bereiche includet werden, womit ich mir aber auch nicht sicher bin.
Schau mal hier. Mit der Methode, die ich da vorstelle, kann nichts in dieser Richtung passieren.
Man kannmal allgemein sagen:
Benutzerübergebene Strings sollte man für einige Sachen nicht verwenden, nämlich für die Ausdrücke, die dann weiteren Code ins Spiel bringen:
-Kein include
-Kein eval
-Kein mysql_query, PDO verwenden
-Kein Get-Parameter oder ähnliches als Callback (also in call_user_func (als ersten Parameter), preg_replace_callback (als zweiten Parameter), oder sowas: $objekt->$_GET['name'](); )

29 55555Callback

Zitat

Word!

?

wenn du damit "dito" meinst sag ich nur: "dito"

@Bandit
Es gibt wirklich harmlose Sachen, wie zum Beispiel echo $_SERVER['QUERY_STRING']; .
Und an vielen Strings ist einfach auch wenig zu prüfen, zum Beispiel wenn es ein richtiger Text ist, der gesucht werden oder in die DB geschrieben werden soll.
Die Strings nimmt man dann, und muss unter Umständen noch escapen, aber Prüfungen sind dann nicht an ihnen durchzuführen.