Hallo,
ich beschäftige mich gerade mit der Sicherheit von PHP-Anwendungen und habe folgenden Code aus einem Buch:
CODE <?php
$whitelist = array ('a','b','c');
if(in_array(trim($_GET['skript']),$whitelist))
{
require($_GET['skript'].'.php');
}
else
{
die()
}
?>
Es geht hier darum, serverseitiges Cross-Site-Scripting durch URL-Injection zu verhindern.
Im obigen Beispiel sollen nur die dateien "a", "b" oder "c" eingebunden werden dürfen (eine whitelist), andernfalls die().
Es funktioniert aber so nicht ( die() ).
Es gibt natürlich die Dateien a.php etc.
Muss ich für 'skript noch irgendetwas einsetzen oder ist es dort an der richtigen Stelle?
Irgendwie stehe ich auf dem Schlauch.
ich beschäftige mich gerade mit der Sicherheit von PHP-Anwendungen und habe folgenden Code aus einem Buch:
CODE <?php
$whitelist = array ('a','b','c');
if(in_array(trim($_GET['skript']),$whitelist))
{
require($_GET['skript'].'.php');
}
else
{
die()
}
?>
Es geht hier darum, serverseitiges Cross-Site-Scripting durch URL-Injection zu verhindern.
Im obigen Beispiel sollen nur die dateien "a", "b" oder "c" eingebunden werden dürfen (eine whitelist), andernfalls die().
Es funktioniert aber so nicht ( die() ).
Es gibt natürlich die Dateien a.php etc.
Muss ich für 'skript noch irgendetwas einsetzen oder ist es dort an der richtigen Stelle?
Irgendwie stehe ich auf dem Schlauch.