Neue Seite NUR in Content-Layer anzeigen??? Geht das???

[AlphaWolf1941]

Hi Leute...

Bin ja fleißig mit Div-Layern am experimentieren um von Tabellen und Frames loszukommen...

Gibt es eine Möglichkeit eine über das Navimenü aufgerufene Seite NUR im Content Layer aufzubauen ohne das die ganze Seite neu geladen werden muß???

Geht mal auf meine Seite und klickt auf Gästebuch...ich hätte gerne das sich das GB aufbaut, aber die restliche Seite (Navimenü...) erhalten bleibt...

So als ob ich das GB in einem Hauptframe laden würde...ist das mit CSS möglich???

http://www.alphawolf1941.de

[insane]

So weit ich weiß, geht das nicht. Aber für diesen Fall würde ich einfach einen iFrame benutzen...ich denke dafür ist das schon akzeptabel und gibt soweit ich weiß auch keine größeren Probleme.

[Manuel]

Ich empfehle einfach mal php + include. So wird es mittlerweile auf fast jeder Seite gemacht. Wie genau das funktioniert findest du hier:

http://www.der-webdesigner.net/index.ph ... me=include

Lg,
Manuel

[klobrille]

Wenn es dir nur um die Ladezeiten geht, dann brauchst du dir keine Sorgen machen. Der (in deinem Fall) obere geladene Teil wird temporär gespeichert und wird nicht ständig neu geladen

iFrame? Bitte meiden, wenn es nur irgendwie geht

Marcel

[AlphaWolf1941]

Jau...THX...

Werd dann mal versuchen ob ich das hinkriege*am Kopf kratz*...

[TakaBo]

Hi,

von dem Include, so wie er im Tutorial verwendet wird, würde ich die Finger lassen, da so dem Cross Site Scripting (CSS bzw. XSS) Tür und Tor geöffnet wird. Da kannst Du gleich die Zugangsdaten Deiner Website klar lesbar auf die Startseite schreiben.

Versuch doch mal Dich mit Ajax auseinander zu setzen. Damit kannst Du den Inhalt Deiner Seite dynamisch z.B. in ein DIV nachladen. Für PHP gibt es dafür einfache Bibliotheken wie z.B. HTML_Ajax. Wenn Du mit Benutzerrechten arbeiten solltest, wäre es noch nett, wenn Du im Ajax-Server Session-IDs auslesen würdest, damit nicht jeder Hans und Franz auf empfindliche, registrierten Usern vorbehaltene Daten zugreifen kann.

Gruß Chris

[Lukas]

Hi,

von dem Include, so wie er im Tutorial verwendet wird, würde ich die Finger lassen, da so dem Cross Site Scripting (CSS bzw. XSS) Tür und Tor geöffnet wird. Da kannst Du gleich die Zugangsdaten Deiner Website klar lesbar auf die Startseite schreiben.

Kannst du das bitte erklären?
Kann man dadurch die FTP-Zugangsdaten auslesen oder wie?

[Manuel]

Ich werde das auf jeden Fall noch so abändern, dass XSS nicht mehr möglich ist.

[klobrille]

Was ist XSS?

Marcel

[C4D_Joe]

XSS = Cross Site Scripting = (Bösartigen) Code in Seiten einbinden, beispielsweise über ein Gästebuch etc.

Genaueres unter http://de.wikipedia.org/wiki/XSS.

//edit:
@TakaBo: AJAX?! Och ne, bitte nicht. Das mag für Webapplikationen á la Google Maps in Ordnung sein, aber doch bitte nicht für normale Websites! Die Barrierefreiheit geht flöten, der Programmieraufwand erhöht sich erheblich, und die User mit deaktiviertem JS werden sich bedanken. Wenn schon AJAX, dann sollte die Seite auch ohne JS funktionieren. Im übrigen wären sicherlich geschätze 90% aller AJAX-Seiten ohne selbiges besser bedienbar.

[Manuel]

Ich bin mir da auch gar nicht mal so sicher, ob das Einbinden eines Scripts überhaupt funktionieren würde. Wir verwenden ja kein "normales" include, sondern geben den Ordner vor. In unserem Fall ist das dann $action/$action.php

Wichtig ist, dass wir die Endung so schon mal auf php beschränken, was zwar umgänglich ist, es dennoch einem potentiellen Angreifer schwierig macht.
Will der Angreifer nun sein Script einbinden, so müsste er dies dann so bennen:

http://www.angreiferdurchXSS.de/script. ... ipt.js.php

Ob sich damit dann aber wirklich etwas anfangen lässt ist die Frage. Wer auf der sicheren Seite sein will, macht wie es Chris mir mal vorgeschlagen hatte eine Tabelle in MySQL und schaut, ob der Include valide ist oder nicht. Bei wenigen Includes, also wenn es nur um ein Menü geht, reicht ein einfacher Switch, der alle anderen Parameter der GET-Variable einfach ignoriert bzw. die Startseite aufruft.

Lg,
Manuel

[C4D_Joe]

Im jetzigen Zustand könnte man definitiv sehr einfach ein Script einbinden, stimmt.
Was die Sache schon verbessern dürfte, wäre der Einsatz von fopen().
Also statt

Code: Alles auswählen

if(file_exists("$action.php"))

eben

Code: Alles auswählen

if(@!fopen("$action.php", 'r'))

.

Dann dürften sich i.d.R. keine Dateien mehr über http einbinden lassen.
Oder eben einfach ein switch

Gruß, Joe

[powerschulzi]

wär nett, wenn du noch dazu erklären könntest, was eigentlich genau fopen macht

[C4D_Joe]

http://de.php.net/manual/de/function.fopen.php
In der php.ini muss dazu aber allow_url_fopen auf '0' sein, sonst brings auch nix (bzw. ein bösartiges File könnte trotzdem eingebunden werden ).

Oder aber, du machst die Überprüfung so:

Code: Alles auswählen

if(@!fopen("$action.php", 'a+'))

.
Dann versucht PHP die Datei zum Schreiben zu öffnen, und das dürfte in aller Regel nicht bei Dateien auf fremden Servern funktionieren :D

Gruß, Joe

[TakaBo]

Hmmm. Eigentlich eine gute Idee mit fopen. Es stellen sich da nur folgende Fragen:
-Kosten für das öffnen einer Datei auf dem Server. Angriffsmöglichkeit für DoS Attacke? (AFAIK ist selbst bei Linux nach 1024 Filediskriptoren Schicht im Schacht).
-Irgendwo muß ich testen, ob allow_url_fopen auf 0 gesetzt ist. (Installation OK/Laufender Betrieb=höhere Laufzeitkosten)
-Auf fremden Servern wird kein Skript mehr geöffnet, aber wie sieht es mit eigenen Skripten aus, die mit löchrigen Sicherheitsmaßnahmen auf dem Server rumoxidieren und dem Benutzer Adminrechte geben? (Selbsgebaute Administrationsskripte die nur mit einer htaccess geschützt werden z.B.).

@Ajax: Ist so ne Sache. Um das Problem mit dem Nachladen ohne IFrames zu lösen ist es eigentlich DIE Lösung. Wird sogar von MS auf der eigenen Seite benutzt (Besonders auf der MSDN Seite für Menüs usw). Man sollte natürlich testen, obs mit verschiedenen Browsern funzt. Die, die kein JS aktiviert haben, können eh nicht viel vom Internet erwarten, oder? Neun von zehn Seiten kommen nicht ohne JS aus behaupte ich einfach mal. :D

Gruß Chris