title image


Smiley Re: include() von fremder Domain
Wenn Inhalt von einer anderen Website per include() eingebunden wird, kann dieser durchaus ausführbaren PHP-Code enthalten. Damit stehen alle Möglichen des Zugriffs auf den Server wie von PHP gewohnt auch für die andere Website offen. Das Ausspähen von Datenbankpasswörten, die ja auch irgendwo in den eigenen PHP- o.a. Dateien stehen, ist damit ohne weiteres möglich, wie vieles andere mehr auch. Auch Versenden von Daten an andere Server und die Verwendung von mail() (Spam!) u.s.w.u.s.f. ist möglich.



Also wenn der Inhalt nicht aus einer bekannten Quelle kommt, ist davon dringend abzuraten. Selbst wenn der Inhalt von einer baknnten Quelle kommt, besteht immer noch die Möglichkeit einer Man In the Middle Attack. Gegen letzteres könnte man ggf. noch SSL verwenden.



Wenn der Inhalt von der anderen Website direkt ausgegeben werden soll, könnte man stattdessen z.B. readfile() nutzen. Wenn die Daten der anderen Website verarbeitet werden sollen, sollten diese mit normalen Filesystemmethoden z.B. in eine Variable eingelesen und dann vom eigenen Programm vearbeitet werden. Als Datenformat würde sich da z.B. XML anbieten.
Gruß Stefan

www.triess.de - Meine Themen: Consulting Forschung Entwicklung Projektierung Elektronik Software Mechanik Verfahren Messverfahren Kommunikation Navigation Map Matching Location Based Services Telematik komplexe Test- und Demonstrationssysteme GPS BS26 ISDN X.25 X.31 GSM GPRS UMTS DSL TCP/IP ACP SPS PC LAN WAN Feldbus Internet/Intranet Webdesign SQL Client/Server RedOx LF pH rF


geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: