PHP: URL-Variablen weitergeben und Ergebnis anzeigen
 

Hallo,

ich habe ein Programm, welches über ein HTML-Formfeld oder direkt mit URL-Variablen angesteuert wird und dann HTML-Code zurückgibt.

Nun will ich das ganze in eine Website einbinden, damit nicht nur die Ausgabe des Programms angezeigt wird, sondern auch die Navigation der Webseite. Das Ganze war bis jetzt mit Frames gelöst, was ich aber in Zukunft vermeiden will.

Ich dachte mir, ich gebe in Zukunft im Formular nicht direkt das Programm als Ziel an, sondern eine Seite, die etwas PHP Code enthält, der alle Variablen an das Programm weiterleitet und das Ergebnis in die Seite schriebt.

Wie mach ich das?


Schöne Grüße
Nestrus

etwas lektüre zum einlesen ;)

http://www.selfphp3.de/

Ok, an die Variablen komm ich ja leicht, z.B.

$url = 'http://einzubindende.url?';
for ($i = 0; $i < sizeof($_GET); ++$i)
{
$url .= key($_GET)."=".current($_GET)."&";
next($_GET);
}
(Das überzählige & am Ende stört nicht.)

Und ich kann auch leicht auf die Seite verweisen mit header("Location: $url"); aber wie binde ich die url, bzw den Quelltext, den ich zurückbekomme in die Seite, auf der das PHP steht ein?
Mit include gehts irgendwie nicht, zumindest passiert bei mir nichts wenn ich einfach include $url; sage.

Ok, ich denke das Problem ist, dass allow_url_include bei mir auf Off ist, gibt es noch eine andere Möglichkeit abseits von include?

Dir ist klar, dass du dabei das schlimmste tust, was man bei PHP-Programmierung nur tun kann?
Du überprüfst nirgendwas was du als Parameter bekommst. Dein Script ist perfekt für XSS und sonstige Angriffe.

So du diesen Wahnsinn aber wirklich ungeprüft fortführen willst, kannst du die Datei zb mt der Funktion file_get_contents() auslesen und anschließend mit echo oder print ausgeben.

Vielen Dank für den Hinweis auf file_get_contents() damit klappt es, zum Glück ist allow_url_fopen eingeschaltet!

Zuerst geht es mir mal darum, das es überhaupt funzt, dann kann ich immer noch alles escapen.
Außerdem gebe ich ja nicht die übergeben Variablen aus, sondern das Ergebnis eines anderen Programms, das sowieso alles Unbekannte verwirft, also eigentlich sollte da XSS gar nicht möglich sein. Ich werde aber ein paar Beispiele suchen und ausprobieren.

Wenn dein Script ungeprüfte bzw ungefilterte Eingabedaten an ein 2es Programm übergibt und dort z.B. einen Bufferoverflow erzeugt, dann hast erst wieder den Scheam auf, wie man hier in Wien so schön sagt.
Am besten ist also du machst eine if oder wenns nur numerische Parameter sind eine select case Abfrage.