[HELP][PHP] Frame über URL öffnen [Archiv]

Archiv verlassen und diese Seite im Standarddesign anzeigen : [HELP][PHP] Frame über URL öffnen

Socks5 Seller

17.03.2009, 11:51

[HELP][PHP] Frame über URL öffnen

Ich will über die URL den Frame bestimmen!! Also über die URL den Link für den Frame einbinden...

Soetwas in der Art:

http://www.meine-seite.de/frame.php?frame=www.deine-seite.de&

HTML:

<html>
<head>
<title>http://deine-seite.de</title>
<meta name="generator" content="Frame over URL">
<meta name="url" content="deine-seite.de">
<meta name="robots" content="all">
</head>
<frameset rows="100%,0" frameborder=no border=0>

<frame name="ORT" src="deine-seite.de">
<frame name="NONE" src="" scrolling="no" noresize>
<noframes>
<body><a href="http://deine-seite.de/">Click here</a><hr></body>
</noframes>
</frameset>
</html>

Wen ihr nicht verstanden habt was ich meine, dan guckt euch "DAS BILD HIER AN" (http://upload-planet.de/bild.php/55073,frameKG9QS.jpg)

Danke für jede hilfe!!

MfG

-=Player=-

17.03.2009, 14:40

<html>
<head>
<title><?php echo $_GET['frame']; ?></title>
<meta name="generator" content="Frame over URL">
<meta name="url" content="<?php echo $_GET['frame']; ?>">
<meta name="robots" content="all">
</head>
<frameset rows="100%,0" frameborder=no border=0>

<frame name="ORT" src="<?php echo $_GET['frame']; ?>">
<frame name="NONE" src="" scrolling="no" noresize>
<noframes>
<body><a href="<?php echo $_GET['frame']; ?>">Click here</a><hr></body>
</noframes>
</frameset>
</html> überall wo "<?php echo $_GET['frame']; ?>" steht, wird der inhalt aus der Variable "frame=" übergeben

p.s. das was du in deiner sigantur hattest, ist bei uns verboten,
bei uns darf NICHTS verkauf werden und auch wenn du es tauschen würdest, wäre es verboten, weil du bei uns noch nicht berechtigt bist.

Eldra

17.03.2009, 16:58

So wie ich das sehe, ist der Beispielcode aber sehr anfällig...

Ich glaub ich hatte sowas a) mit include(""); und b) mit Arrays. Bin mir da aber auch nicht mehr so sicher...

/proc/cpuinfo

17.03.2009, 17:31

Also so wie du es hast,

kann jeder code auf deiner Seite einfügen.

naja nicht direkt aber man kann einfache XSS und so machen.

wäre es ein include würde man zwar nicht mehr andere Server nehmen können, jedoch deine Config..

->

if ($_GET['frame'] == 'FileVerboten.php') {$_GET['frame'] = 'YOURERROR';}

habe lange nichts mehr in PHP gemacht, aber so kannste das parsen

-=Player=-

17.03.2009, 17:34

dann kann man das ganze halt noch durch die funktion htmlentities jagen

blackberry

17.03.2009, 17:41

if ($_GET['frame'] == 'FileVerboten.php') {$_GET['frame'] = 'YOURERROR';}

Eine Whitelist wäre besser als eine Blacklist!
Bei deinem Verfahren musst du fast ALLES auf dem Server in deine Blacklist aufnehmen!

Besser:

<?php

$files = array
(
'a.html',
'b.html',
'c.html',
// [...]
);

if (!in_array($_GET['frame'], $files))
{
die('...');
}

// include ...

?>