php code in browser als tekst

vrijdag 23 mei 2008 15:30

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik ben bezig met een php pagina waarin in online kan programeren.
Ik heb het nu al zo ver gekregen dat ik een php pagina in een webbrowser kan intypen en dat deze dan op de server word opgeslagen. Ik wil alleen nog dat ik een pagina kan includen en dan de broncode zie. Is dit mogelijk? en als dit mogelijk is hoe maak ik dit dan?

vrijdag 23 mei 2008 15:32

Acties:

0 Henk 'm!

mithras

Wat is er mis met fread en echo? file_get_contents?

[ Voor 52% gewijzigd door mithras op 23-05-2008 15:33 . Reden: Linkjes toegevoegd ]

vrijdag 23 mei 2008 15:32

Acties:

0 Henk 'm!

Noork

Je kan zoeits toch openen in b.v. een textarea?

vrijdag 23 mei 2008 15:33

Acties:

0 Henk 'm!

Verwijderd

readfile ()

Maar tering zeg, wat een vreselijk slecht plan. "Online programmeren". Dat soort dingen doe je op een ontwikkelserver, en daarop kun je gewoon doen wat je wilt, dus ook bijvoorbeeld Samba installeren en dan met een normale editor / IDE ontwikkelen. Gebruik desnoods WebDAV. Maar bedenk nou geen waanzinnig slechte dingen.

vrijdag 23 mei 2008 15:34

Acties:

0 Henk 'm!

CodeCaster

Can I get uhm...

Wat heb je zelf geprobeerd dan? Een php-bestand is niet anders dan ieder ander willekeurig tekstbestand, en dus gewoon te openen met file_get_contents() en de inhoud in een textarea schrijven, zoals de heren boven mij al suggereren

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

vrijdag 23 mei 2008 15:36

Acties:

0 Henk 'm!

THIJZEL

Het hoeft niet per sé zo te zijn, maar ik vind het security-wise wat eng klinken..

idd met file_get_contents de inhoud van de file ophalen, die in jou editor gieten. Vervolgens weer wegscrijven met fopen(check ff welke mode je wil).

vrijdag 23 mei 2008 15:37

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

uhhhh, waarscjhijnlijk leg ik het een beetje moeilijk uit. Het is ook nogal lastig te beschrijven denk ik.

Ik wil dus een php document bijv:

test.php
inhoud van test.php

<?php
print'klein stukje code';
?>

Nu wil ik dat ik niet "klein stukje code" krijg te zien op mijn scherm maar
<?php
print'klein stukje code';
?>
wil ik zien.
Dit is waarschijnlijk duidelijker.

vrijdag 23 mei 2008 15:39

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik weet dat het niet erg veilig is maar dit is ook geen permanente oplossing. Dit is iets tijdelijks en ik wil het latr voor andere dingen gebruiken.

vrijdag 23 mei 2008 15:39

Acties:

0 Henk 'm!

CodeCaster

Can I get uhm...

We zijn duidelijk zat geweest, je zult zelf aan het programmeren moeten met de hints die je gegeven hebt. We gaan geen kant-en-klare code opleveren.

Als je het werkend hebt wil ik wel graag een linkje om een en ander te testen

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

vrijdag 23 mei 2008 15:39

Acties:

0 Henk 'm!

Verwijderd

Dan mag je eerst vertellen waarom de bovenstaande oplossingen niet doen wat je wilt.

Wat CodeCaster zegt dus.

[ Voor 21% gewijzigd door Verwijderd op 23-05-2008 15:40 ]

vrijdag 23 mei 2008 15:42

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

ik ga nu de oplossingen gebruiken. Alles is heel erg duidelijk.

en codecaster, Ik geef jou inderdaad geen link

vrijdag 23 mei 2008 15:43

Acties:

0 Henk 'm!

Room42

Verwijderd schreef op vrijdag 23 mei 2008 @ 15:37:
uhhhh, waarscjhijnlijk leg ik het een beetje moeilijk uit. Het is ook nogal lastig te beschrijven denk ik.

Ik wil dus een php docum[...]

Jaja, dat hebben we allemaal heel goed begrepen

En de antwoorden die gegeven zijn, is precies precies wat je zoekt

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

vrijdag 23 mei 2008 15:45

Acties:

0 Henk 'm!

mithras

Verwijderd schreef op vrijdag 23 mei 2008 @ 15:33:
readfile ()

Maar tering zeg, wat een vreselijk slecht plan. "Online programmeren". Dat soort dingen doe je op een ontwikkelserver, en daarop kun je gewoon doen wat je wilt, dus ook bijvoorbeeld Samba installeren en dan met een normale editor / IDE ontwikkelen. Gebruik desnoods WebDAV. Maar bedenk nou geen waanzinnig slechte dingen.

Wel heel hip: een webbased Web2.0 IDE met autocomplete, debug en profile tools, custom highlighting en automatische deeplinks naar online documentatie

vrijdag 23 mei 2008 15:52

Acties:

0 Henk 'm!

lordgandalf

hij wil een php editor maken waarin ie een php bestand kan laden vanaf de server en dan aanpassen en dan weer terug schrijven naar de file.

-het is niet helemaal lekker veilig imho
-er moet dus verschrikkelijk gestripped worden en beveiligt

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

vrijdag 23 mei 2008 15:53

Acties:

0 Henk 'm!

Room42

lordgandalf schreef op vrijdag 23 mei 2008 @ 15:52:
[...]

Ja, daar waren we het al over eens

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

vrijdag 23 mei 2008 15:57

Acties:

0 Henk 'm!

Bosmonster

*zucht*

lordgandalf schreef op vrijdag 23 mei 2008 @ 15:52:
hij wil een php editor maken waarin ie een php bestand kan laden vanaf de server en dan aanpassen en dan weer terug schrijven naar de file.

-het is niet helemaal lekker veilig imho
-er moet dus verschrikkelijk gestripped worden en beveiligt

Het moet ook vooral goed getest worden dan, dus denk dat ie het beste de url even hier kan posten

Als de beveiliging overigens net zo goed is als z'n homepage dan vrees ik het ergste

http://www.scoutingdonbosco.com/?pagina=index

Hou rekening met een oneindige loop

(en blijkbaar geen check op welke pagina geopend wordt.. ik zeg niks meer)

[ Voor 21% gewijzigd door Bosmonster op 23-05-2008 16:00 ]

vrijdag 23 mei 2008 16:25

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

hmmz, misschien inderdaad een check inbouwen. ik wist niet dat je browser er door kon afsluiten.

vrijdag 23 mei 2008 16:30

Acties:

0 Henk 'm!

lordgandalf

whoei een leuke site met een gapend XSS gat

zouw maar even de file check fixoren want dit kan heel nasty worden als mensen hier achterkomen

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

vrijdag 23 mei 2008 16:35

Acties:

0 Henk 'm!

Verwijderd

Zo te zien weet je wel meer niet, en dat is alleen maar meer reden om je niet bezig te houden met dit soort dingen. Als je achterlijke dingen wilt, en je hebt te weinig verstand van alles wat erbij komt kijken, kun je er donder op zeggen dat het goed mis gaat. Ik ben benieuwd wat je hostingprovider hiervan vindt.

vrijdag 23 mei 2008 16:48

Acties:

0 Henk 'm!

Bosmonster

*zucht*

Verwijderd schreef op vrijdag 23 mei 2008 @ 16:25:
hmmz, misschien inderdaad een check inbouwen. ik wist niet dat je browser er door kon afsluiten.

Dat je browser er door afsluit is wel het minste probleem

Je kan nu iedere willekeurige PHP code uit laten voeren op je server.

vrijdag 23 mei 2008 17:34

Acties:

0 Henk 'm!

MueR

Admin Tweakers Discord

is niet lief

Gaaf, bij elke pageview een SendToHacker($_GET, $_POST, $_SESSION, $_COOKIE); doen

Anyone who gets in between me and my morning coffee should be insecure.

vrijdag 23 mei 2008 17:38

Acties:

0 Henk 'm!

Noork

Ik krijg toch leuke foutmeldingen

code:

Warning: main() [function.include]: Failed opening 'http://www.nu.nl.php' for inclusion (include_path='.:/usr/local/lib/php') in /home/he7665/domains/scoutingdonbosco.com/public_html/main/main.php on line 124

testtest doet het ook!

http://www.scoutingdonbosco.com/?pagina=test

Het lijkt me niet zo verstandig om zo'n include constructie te hanteren. Ik zou iets doet met een 'case'-constructie. En gewoon netjes niks of een error404 includen als het niet is gedefineerd.

[ Voor 34% gewijzigd door Noork op 23-05-2008 17:43 ]

vrijdag 23 mei 2008 17:43

Acties:

0 Henk 'm!

Voutloos

Je bent nu een gammele site aan het onderhouden, met tijdens het onderhoud mogelijk nog meer lekken (al was het maar pad info).

Knal die pagina parameter uit, ontwikkel een fix op je eigen bak of sta enkel die parameter toe vanaf jouw ip en zet pas aan het eind de boel weer open. Wellicht is het wel zo verstandig om alle overige input ook na te lopen en gewoon hard na te denken wat iemand zou kunnen invullen om de boel te breken/belazeren.

En dynamische file includes staan zeker in de PHP beginners- / securityfouten top 10. Maak idd controles per paginanaam, of maak onschuldige aliassen (mapping van int naar filename oid), of definieer simpelweg een array met geldige waardes, om maar wat voor de hand liggende opties te noemen.

[ Voor 24% gewijzigd door Voutloos op 23-05-2008 17:46 ]

{signature}

vrijdag 23 mei 2008 18:51

Acties:

0 Henk 'm!

_js_

En als je toch bezig bent, je contactformulier is vatbaar voor mail injection, oftewel, jouw contactformulier kan gebruikt worden om mee te spammen door extra CC: regels toe te voegen aan afzender naam of e-mailadres

zaterdag 24 mei 2008 00:18

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Heel erg bedankt allemaal. Ik ga er iets aan doen. Ik ben blij dat jullie mij hier voor waarscguwen!!!

zaterdag 24 mei 2008 09:55

Acties:

0 Henk 'm!

_eXistenZ_

.phps

En vergeet niet je dikke beveiliging

There is no replacement for displacement!

Pagina: 1

Reageer

Onderwerpen