PHP: URL-Variablen weitergeben und Ergebnis anzeigen

Nestrus · 26.03.2008, 15:14

Hallo,

ich habe ein Programm, welches über ein HTML-Formfeld oder direkt mit URL-Variablen angesteuert wird und dann HTML-Code zurückgibt.

Nun will ich das ganze in eine Website einbinden, damit nicht nur die Ausgabe des Programms angezeigt wird, sondern auch die Navigation der Webseite. Das Ganze war bis jetzt mit Frames gelöst, was ich aber in Zukunft vermeiden will.

Ich dachte mir, ich gebe in Zukunft im Formular nicht direkt das Programm als Ziel an, sondern eine Seite, die etwas PHP Code enthält, der alle Variablen an das Programm weiterleitet und das Ergebnis in die Seite schriebt.

Wie mach ich das?

Schöne Grüße
Nestrus

pc.net · 26.03.2008, 15:41

etwas lektüre zum einlesen

http://www.selfphp3.de/

Nestrus · 26.03.2008, 20:42

Ok, an die Variablen komm ich ja leicht, z.B.

$url = 'http://einzubindende.url?';
for ($i = 0; $i < sizeof($_GET); ++$i)
{
$url .= key($_GET)."=".current($_GET)."&";
next($_GET);
}
(Das überzählige & am Ende stört nicht.)

Und ich kann auch leicht auf die Seite verweisen mit header("Location: $url"); aber wie binde ich die url, bzw den Quelltext, den ich zurückbekomme in die Seite, auf der das PHP steht ein?
Mit include gehts irgendwie nicht, zumindest passiert bei mir nichts wenn ich einfach include $url; sage.

Nestrus · 27.03.2008, 09:39

Ok, ich denke das Problem ist, dass allow_url_include bei mir auf Off ist, gibt es noch eine andere Möglichkeit abseits von include?

Potassium · 29.03.2008, 03:47

Dir ist klar, dass du dabei das schlimmste tust, was man bei PHP-Programmierung nur tun kann?
Du überprüfst nirgendwas was du als Parameter bekommst. Dein Script ist perfekt für XSS und sonstige Angriffe.

So du diesen Wahnsinn aber wirklich ungeprüft fortführen willst, kannst du die Datei zb mt der Funktion file_get_contents() auslesen und anschließend mit echo oder print ausgeben.

Nestrus · 01.04.2008, 17:19

Vielen Dank für den Hinweis auf file_get_contents() damit klappt es, zum Glück ist allow_url_fopen eingeschaltet!

Zuerst geht es mir mal darum, das es überhaupt funzt, dann kann ich immer noch alles escapen.
Außerdem gebe ich ja nicht die übergeben Variablen aus, sondern das Ergebnis eines anderen Programms, das sowieso alles Unbekannte verwirft, also eigentlich sollte da XSS gar nicht möglich sein. Ich werde aber ein paar Beispiele suchen und ausprobieren.

Potassium · 01.04.2008, 18:56

Wenn dein Script ungeprüfte bzw ungefilterte Eingabedaten an ein 2es Programm übergibt und dort z.B. einen Bufferoverflow erzeugt, dann hast erst wieder den Scheam auf, wie man hier in Wien so schön sagt.
Am besten ist also du machst eine if oder wenns nur numerische Parameter sind eine select case Abfrage.

26.03.2008, 15:14	#1
Nestrus Elite Registriert seit: 01.07.2000 Alter: 40 Beiträge: 1.400	PHP: URL-Variablen weitergeben und Ergebnis anzeigen Hallo, ich habe ein Programm, welches über ein HTML-Formfeld oder direkt mit URL-Variablen angesteuert wird und dann HTML-Code zurückgibt. Nun will ich das ganze in eine Website einbinden, damit nicht nur die Ausgabe des Programms angezeigt wird, sondern auch die Navigation der Webseite. Das Ganze war bis jetzt mit Frames gelöst, was ich aber in Zukunft vermeiden will. Ich dachte mir, ich gebe in Zukunft im Formular nicht direkt das Programm als Ziel an, sondern eine Seite, die etwas PHP Code enthält, der alle Variablen an das Programm weiterleitet und das Ergebnis in die Seite schriebt. Wie mach ich das? Schöne Grüße Nestrus ____________________________________ "reden 2 unsinn im wcm forum, meint der dritte is eh offtopic" (Gifty am 14. Apr 2002 um 22:47 in " WCM Rat & Tat Forum > Meinung > Guru, e-Zitate & Off Topic > Kommt ein Mann zum Arzt...")

26.03.2008, 15:41	#2
pc.net Aussteiger Registriert seit: 07.10.2001 Ort: Nettistan Beiträge: 12.997 Mein Computer	etwas lektüre zum einlesen http://www.selfphp3.de/ ____________________________________ Praktizierender Eristiker No hace falta ser un genio para saber quién dijo eso. Der wirklich faule Mensch ist oft extrem fleißig, denn er will möglichst schnell wieder faul sein.

26.03.2008, 20:42	#3
Nestrus Elite Registriert seit: 01.07.2000 Alter: 40 Beiträge: 1.400	Ok, an die Variablen komm ich ja leicht, z.B. $url = 'http://einzubindende.url?'; for ($i = 0; $i < sizeof($_GET); ++$i) { $url .= key($_GET)."=".current($_GET)."&"; next($_GET); } (Das überzählige & am Ende stört nicht.) Und ich kann auch leicht auf die Seite verweisen mit header("Location: $url"); aber wie binde ich die url, bzw den Quelltext, den ich zurückbekomme in die Seite, auf der das PHP steht ein? Mit include gehts irgendwie nicht, zumindest passiert bei mir nichts wenn ich einfach include $url; sage. ____________________________________ "reden 2 unsinn im wcm forum, meint der dritte is eh offtopic" (Gifty am 14. Apr 2002 um 22:47 in " WCM Rat & Tat Forum > Meinung > Guru, e-Zitate & Off Topic > Kommt ein Mann zum Arzt...") Geändert von Nestrus (26.03.2008 um 20:43 Uhr). Grund: Hab Hinweis auf überzähliges & vergessen

27.03.2008, 09:39	#4
Nestrus Elite Registriert seit: 01.07.2000 Alter: 40 Beiträge: 1.400	Ok, ich denke das Problem ist, dass allow_url_include bei mir auf Off ist, gibt es noch eine andere Möglichkeit abseits von include? ____________________________________ "reden 2 unsinn im wcm forum, meint der dritte is eh offtopic" (Gifty am 14. Apr 2002 um 22:47 in " WCM Rat & Tat Forum > Meinung > Guru, e-Zitate & Off Topic > Kommt ein Mann zum Arzt...")

01.04.2008, 17:19	#6
Nestrus Elite Registriert seit: 01.07.2000 Alter: 40 Beiträge: 1.400	Vielen Dank für den Hinweis auf file_get_contents() damit klappt es, zum Glück ist allow_url_fopen eingeschaltet! Zuerst geht es mir mal darum, das es überhaupt funzt, dann kann ich immer noch alles escapen. Außerdem gebe ich ja nicht die übergeben Variablen aus, sondern das Ergebnis eines anderen Programms, das sowieso alles Unbekannte verwirft, also eigentlich sollte da XSS gar nicht möglich sein. Ich werde aber ein paar Beispiele suchen und ausprobieren. ____________________________________ "reden 2 unsinn im wcm forum, meint der dritte is eh offtopic" (Gifty am 14. Apr 2002 um 22:47 in " WCM Rat & Tat Forum > Meinung > Guru, e-Zitate & Off Topic > Kommt ein Mann zum Arzt...")

29.03.2008, 03:47	#5
Potassium Inventar Registriert seit: 06.03.2003 Alter: 37 Beiträge: 3.954 Mein Computer	Dir ist klar, dass du dabei das schlimmste tust, was man bei PHP-Programmierung nur tun kann? Du überprüfst nirgendwas was du als Parameter bekommst. Dein Script ist perfekt für XSS und sonstige Angriffe. So du diesen Wahnsinn aber wirklich ungeprüft fortführen willst, kannst du die Datei zb mt der Funktion file_get_contents() auslesen und anschließend mit echo oder print ausgeben.

01.04.2008, 18:56	#7
Potassium Inventar Registriert seit: 06.03.2003 Alter: 37 Beiträge: 3.954 Mein Computer	Wenn dein Script ungeprüfte bzw ungefilterte Eingabedaten an ein 2es Programm übergibt und dort z.B. einen Bufferoverflow erzeugt, dann hast erst wieder den Scheam auf, wie man hier in Wien so schön sagt. Am besten ist also du machst eine if oder wenns nur numerische Parameter sind eine select case Abfrage.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)