Include vs Readfile

Beter fopenen ;)

require('') is toch nog beter

Maakt geen fuck uit, require doet precies het zelfde als include(), alleen als hij de file niet kan laden geef hij een kritieke fout.

wel een paar fouten, op pagina 1 gebruik je ergens $_POST waar het $_GET moet zijn en op pagina 2 gebruik je zo een variabele :

${variabele} dat moet {$variabele] zijn (dacht ik toch :s)

Wat een domme tutorial.

Dat jou script gegevens van een andere site leest en/of uitvoert is geheel afhankelink van hoe je script in elkaar zit. Verder vindt ik dat er in deze tutorial geen overtuigende voorbeelden worden gegeven en alleen elke die door n00bs worden gebruikt.

Je zou ook een switch (of evt. een database query) kunnen gebruiken indien het opgegeven bestand bestaat, en als het bestaat het bestand vervolgens openen. Alle andere (onacceptabele) inputs worden vervolgens op een elegante wijze afgehandeld.

Simpeler af te vangen is het met een file_exists(), of nog mooier een switch lus. Dan hoef je eigenlijk de input niet eens te gebruiken:
switch($input){
case 1 :
include('blaat1.php'); break;
case 2 :
include('blaat2.php'); break;
case 3 :
include('blaat3.php'); break;
default :
case 1 :
include('blaat0.php'); break;
}

@next:
hij zegt niet dat hij het doet mensen maar er zijn genoeg mensen die bijv een link zetten als <a href="index.php?include_file=nieuws.html"> dus dan kan het wel hij waarschuwd de mensen die het wel doen!!! het is een handige tutorial maar als je al snapt wat er staat hoef je er tog niet negatief over te zijn.

@ruud:ik kan boos worden om de reactie van jouw, houd gewoon je bek als je niet eens je mening kan ondersteunen met argumenten.

verder wilde ik zeggen dat het een goeie tutorial is voor net beginnende phpers, thx arend

Dit gaat er niet om of je wel of geen include() moet gebruiken, maar het gaat er om dat je je invoer moet valideren.

Overigens, ben ik het wel met je eens dat je geen include() moet gebruiken, maar om een hele andere reden. Namelijk dat je uiteindelijk ieder bestand maar een keer wilt includen over het algemeen. "Cannot redefine function x" variabele overschijven, dezelfde foutmelding voor classes ed. Gebruik lekker include_once().

wat ik zelf meestal op mijn pages doe is het volgende..
Deze manier is ook wel redelijk veilig volgens mij.

include/include_once/require/require_once/file/file_get_contents/readfile zijn allemaal gevaarlijk voor deze manier van hacken.

Het heeft geen enkele zin om require te gebruiken, of include_once. Sterker; include_once() zou ik afraden; zorg liever dat je je code gewoon maar 1 keer include.

Dit probleem kun je heel simpekl uit de wereld helpen op drie manieren:
1. zet enable_url_fopen uit in php.ini of .htacccess. Zelfs als een hacker een URL in je script kan krijgen zal PHP weigeren die op te halen

2. geef nooit teksten door, altijd getallen, en haal aan de hand van die getallen de echte teksten weer op:

script.php?include_bestand=5



3. zet altijd een hardcoded pad voor de var, en haal alle dubbele punten uit de var:
include('/mijn/pad/'.str_replace('..', $_GET['include_bestand']);

Maar de 1e methode is het best omdat het daar helemaal onmogelijk is om iets anders in te voeren dan de optie die jij toestaat. De 2e optie is altijd wel een goed plan, hoe vaak haal je in je scripts nou iets op van een andere site?

wat dacht je van het bestand buiten de www dir zetten en dan gewoon includen ?

het mooie is natuurlijk wel dat als je php vanaf een andere server include dat het dan al geparset is :)

"het mooie is natuurlijk wel dat als je php vanaf een andere server include dat het dan al geparset is :)"

en als je nou is een extern .txt bestand include met php erin? parstie ook gewoon

Wat ik gebruik is meestal een constante in de include, dus:

define( 'P_SRC', '/usr/home/apache/htdocs/include/' );

include P_SRC.'class.mysql.php';

Beter dan een hardcoded pad in de include.

Include en require zijn niet hetzelfde trouwens. Require wordt altijd toegevoerd en include niet, dus:

if( $string == 'hallo' )
include iets

is niet hetzelfde als

if( $string == 'hallo' )
require iets

> include/include_once/require/require_once/file/file_get_contents/readfile zijn
> allemaal gevaarlijk voor deze manier van hacken.
Mee eens, wie niet horen wil moet maar voelen. Alles is onveilig als iemand dom programmeert.
>Het heeft geen enkele zin om require te gebruiken, of include_once. Sterker;
> include_once() zou ik afraden; zorg liever dat je je code gewoon maar 1 keer
> include.
Heel leuk dat je het afraad, hoor. Maar waarom? Het enige wat je er mee bereikt is dat straks alles vanaf een bestand afhankelijk word of in iedergeval dat je moet bij gaan houden wat je waar include. Erg prettig vind ik dit zelf niet, en duidelijk is het evenmin omdat je nooit weet op welk script je nou weer vertrouwd :)

> 2. geef nooit teksten door, altijd getallen, en haal aan de hand van die getallen
> de echte teksten weer op:
Een hashtable (of assoctieve array) gaat ook :)

> 3. zet altijd een hardcoded pad voor de var, en haal alle dubbele punten uit de
> var:
> include('/mijn/pad/'.str_replace('..', $_GET['include_bestand']);
Behalve dat de code niet gaat werken omdat je een parameter bent vergeten bij str_replace, waarom een hardcoded pad? Erg onderhoudbaar is het IMHO niet echt...
Zelf doe ik het trouwens zo dat iedere directory een rootpath.php krijgt, met daar in

Waarbij ./../ altijd naar de root van de applicatie verwijst. Zodat ik, 1 nooit hoef te weten waar mijn applicatie uberhaupt bestaat. En het altijd makkelijk is om bestanden te verhuizen binnen mijn applicatie, omdat het enige wat ik hoef te doen het aanpassen van het relatieve pad naar de root dir is.

> Include en require zijn niet hetzelfde trouwens. Require wordt altijd toegevoerd
> en include niet, dus:
Leescht:
> Note:
> Prior to PHP 4.0.2, the following applies: require() will always attempt to read
> the target file, even if the line it's on never executes. The conditional statement > won't affect require(). However, if the line on which the require() occurs is not
> executed, neither will any of the code in the target file be executed. Similarly,
> looping structures do not affect the behaviour of require(). Although the code
> contained in the target file is still subject to the loop, the require() itself happens
> only once.

Ok, dacht altijd dat het anders was (PHP3 enzo ;D )...

damn wat doen jullie allemaal moeilijk zeg!



Tadaa :D

@kees: je kan nog altijd ../../bestand.php erinzetten he en ik denk http://www.site.be/bestand.php ook dacht ik

Podverdrie, mijn titel is eigenlijk wel een beetje misleidend. Het idee was eigenlijk mensen op lichte wijze op xss gevaren te wijzen. Ik denk dat hier in de thread hier boven een flink aantal goede oplossingen worden geboden.

Happy camping,

Adje

@kees: Ik ben het helemaal met je eens ! Ik heb een functie gemaakt die kijkt of $bestand bestaat in een opgegeven directory op de server zo niet dan gaat hij terug naar de index pagina. En dat je altijd nummers moet gebruiken zoals vincent klopt volgensmij ook niet maargoed het is net wat je fijn vind en wat je mooi vind.

Bedankt voor de readfile() oplossing!

Tegenwoordig kan er van vrijwel geen enkele host nog externe bestanden geincluded worden.

Dat mag ik hopen ja, maar er zijn nog steeds veel onveilige bakken die register globals gebruiken en andere rare instellingen die php tot zo'n onveilig medium hebben gemaakt.

include("../../verbind.php");

dit is dan toch wel nog gewoon veilig????

Ja

Wat is hier het nut van??
Als hacker bedoel ik dan, als deze een 'foute' pagina includet, is hij toch de enige die dit ziet, alle andere bezoekers zien toch wat ze moeten zien??

@Jannes, het wordt wel vervelend als de betreffende hacker met behulp van die fout pagina bijvoorbeeld queries kan uitvoeren op je database

Leuke tut, heb nog niet veel verstand van PHP, maar ik gebruik deze include voor mijn website (vrij oud, een keer gekregen)
deze noem ik include.php en zo include in de hele website



Werkt prima, maar ga hem denk maar eens veranderen :P