Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [php][bezpieczeństwo] Czy można wywoływać zdalne skrypty za pomocą echo ?
lsmith
post
Post #1





Grupa: Zarejestrowani
Postów: 22
Pomógł: 0
Dołączył: 26.10.2006

Ostrzeżenie: (0%)
-----

Tak jak w temacie:
Czy można jakoś za pomocą "echo" wywoływać jakieś skrypty z innych serwerów ?
Konkretnie:
register_globals jest włączone na serwerze i np. wywołuje taki link:
http://www.domena.pl/index.php?tytuł=bardzo_fajny_tytuł

a w kodzie gdzieś tam mam:
[PHP] pobierz, plaintext 
  1. <?php
  2. echo $tytuł;
  3. ?>
[PHP] pobierz, plaintext


to czy jakiś sprytny gość wstawiając coś w adresie za tytul= może coś mi złego zrobić i wywołać jakiś skrypt ?

wyłączenie register globals nie wchodzi w gre, chyba, że da sie to zrobić dla pojedynczego użytkownika (użytkowników korzystających z serwera firmy hostingowej jest uuuu i jeszcze ciut ciut ), ale pewnie nie bo php.ini jedno tylko na serwerze..
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Zeman
post
Post #2





Grupa: Zarejestrowani
Postów: 70
Pomógł: 0
Dołączył: 29.03.2007

Ostrzeżenie: (0%)
-----

Cytat(akubiczek @ 16.04.2007, 14:46:32 ) *
Może wywołać dowolny kod javascript, a więc jest to dziura. Możesz łatwo się zabezpieczyć robiąc np. echo htmlspecialchars($tytul);

Czytałeś dokumentację? Można konfigurować register_globals indywidualnie.


Z tym javascriptem to taka dziura nie dziura. To co Pan namiesza poprzez swój parametr tytul ja mogę osiągnąć to samo bez parametru. Pamiętajmy, że javascript jest wykonywany po stronie serwera więc użytkownik najwyżej sam sobie namiesza w wyświetleniu strony.
Go to the top of the page
+Quote Post

Posty w temacie
- lsmith   [php][bezpieczeństwo] Czy można wywoływać zdalne skrypty za pomocą echo ?   16.04.2007, 12:51:52
- - akubiczek   Może wywołać dowolny kod javascript...   16.04.2007, 13:46:32
- - Zeman   Cytat(akubiczek @ 16.04.2007, 14:46:3...   16.04.2007, 13:55:07
- - nospor   CytatTo co Pan namiesza poprzez swój parametr tytu...   16.04.2007, 13:59:56
- - akubiczek   Dziwi mnie taka opinia człowieka, który na swojej ...   16.04.2007, 14:01:34
- - Zeman   Cytat(lsmith @ 16.04.2007, 13:51:52 )...   16.04.2007, 14:08:27
- - akubiczek   Nie ma zgody z mojej strony na ignorowanie zagroże...   16.04.2007, 14:09:08
- - Zeman   Ok Panowie, przyznaje się do błędu, nie ma co kusi...   16.04.2007, 14:24:09

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 10.10.2025 - 22:34
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn