ABAKUS

Öhm, ja, es hätte Nachteile, falls irgendwo auf Deiner Seite Verlinkungen wie
z.B. forum.php/f3/topic333 oder product.php/id5/der-supertolle-fernseher oder ähnliches regulär und gewollt auftaucht.

AcceptPathInfo on erlaubt einem z.B., dass dann die Datei forum.php aufgerufen wird und dieser die nachfolgenden Informationen in $_SERVER["PATH_INFO"]; zur Verfügung stehen, so dass sie ähnlich ausgewertet werden können wie forum.php?forum=3&topic=333.

Diese Technik wird teilweise zur Optimierung verwendet, wenn z.B. mod_rewrite nicht einsetzbar ist.

Falls aber solche Techniken/Dateien bei dir nicht genutzt werden, hat es keine Nachteile.

Na dann hat sichs erledigt

Ich setze Mod Rewrite ein.
Hab außerdem einen 500er bekommen, also lass ich das lieber

Halt

Ich sprach davon, dass eine solche Technik wie Dateien der Art forum.php/f3/topic33 dann eingesetzt wird, wenn mod_rewrite nicht eingesetzt werden kann.

Da Du aber mod_rewrite einsetzt, wirst Du diese Optimierungstechnik vermutlich nicht verwenden und kannst AcceptPathInfo auf Off setzen.

Der 500er kam vermutlich dadurch zustande, dass ich dummerweise oben das "off" klein geschrieben habe und Apache damit nicht zurecht kommt.

Also versuch nochmal:

Code:

AcceptPathInfo Off


am Anfang Deiner .htacess.

Siehe auch https://httpsd.apache.org/docs/2.2/de/m ... ptpathinfo

[ot]
Das forum hängt heute aber wieder gewaltig...
[/ot]

Hallo Iceman,

generell ist das ja erstmal nicht schlimm. Akzeptiert deine index.php respektive die hier genannte "test.php" verschiedene Variablen in Form von "index.php?var1=foo&var2=bar"?

Falls das nicht der Fall ist, kannst du ja generelle Varieblenanhänge auf 404 oder andere Status-Codes umleiten.

Andernfalls wäre es interessant, was für Variablen die Datei akzeptiert und welche Ausschlusslogik du für "nicht gefundene Variablen" eingebettet hast. Falls die Ausschlusslogik schwierig ist, hilft wahrscheinlich nur noch eine Blacklist a là "Wenn (z.B.) 'http' in Variable, dann 404 Umleitung".

Grüße

Das problem, das wurde von dem Bot oder was das auch immer war, an alle möglichen URLs angehangen.

Und das wollte ich verhindern, das diese so überhaupt aufgerufen werden können.
Es betrifft seiten mit und ohne Variablen.

Werds nochmal mit großem Off probieren, und dann berichten.

Naja, aber du wirst doch wohl deine Eingangsvariablen ($_GET und $_POST) an zentraler Stelle prüfen und sichern, oder?
Falls nicht, würde ich das schnellstens nachholen.

Bootstrap-Datei: array_map(array('DB_Abstract_Wrap','sanitizeInput_Multilevel'),$this->aGet);

Funktion dazu (ungefähr & ungetestet):
public function sanitizeInput_Multilevel($sString) {
$sString = (get_magic_quotes_gpc())?stripslashes($sString):$sString;
$sString = strip_tags($sString);
//Blacklist abgleich
if(strpos($sString, "http")!==false||......) {
$oHelperHttp = new Http_Status_Redirect404();
}
}


Nur als Anregung für den Gedankengang (so runtergeschrieben, also ungetestet!);

Hi Ice Man,

da vermutlich Dein Problem auf einem Apache 1.3 auftaucht und dort AcceptPathInfo als Direktive nicht zur Verfügung steht, bietet sich folgende Lösung über mod_rewrite an:

Damit werden solche Abfragen nun abgefangen und auf Deine eigentliche URL umgeleitet.

D.H-> test.php/hallo/welt -> test.php

Ebenso kannst Du weitere Dateiendungen hinzufügen, z.B. statt (\.php|\.html|\.cgi) (\.php|\.html|\.cgi|\.xhtml), um diese Regel auch bei xhtml Dateien anzuwenden, etc.