Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [php][bezpieczeństwo] Czy można wywoływać zdalne skrypty za pomocą echo ?
lsmith
post
Post #1





Grupa: Zarejestrowani
Postów: 22
Pomógł: 0
Dołączył: 26.10.2006

Ostrzeżenie: (0%)
-----


Tak jak w temacie:
Czy można jakoś za pomocą "echo" wywoływać jakieś skrypty z innych serwerów ?
Konkretnie:
register_globals jest włączone na serwerze i np. wywołuje taki link:
http://www.domena.pl/index.php?tytuł=bardzo_fajny_tytuł

a w kodzie gdzieś tam mam:
  1. <?php
  2. echo $tytuł;
  3. ?>


to czy jakiś sprytny gość wstawiając coś w adresie za tytul= może coś mi złego zrobić i wywołać jakiś skrypt ?

wyłączenie register globals nie wchodzi w gre, chyba, że da sie to zrobić dla pojedynczego użytkownika (użytkowników korzystających z serwera firmy hostingowej jest uuuu i jeszcze ciut ciut ), ale pewnie nie bo php.ini jedno tylko na serwerze..
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
nospor
post
Post #2





Grupa: Moderatorzy
Postów: 36 559
Pomógł: 6315
Dołączył: 27.12.2004




Cytat
To co Pan namiesza poprzez swój parametr tytul ja mogę osiągnąć to samo bez parametru.

tja, z tym ze dzieki $tytul mozna samemu uruchomic komus na przegladarce wlasny kod co z kolei moze byc wykorzystane do ataku XSS.
To ze ktos sam sobie js wali to zadna dziura i sztuka

Cytat
Pamiętajmy, że javascript jest wykonywany po stronie serwera
Przejęzyczenie?
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 11.10.2025 - 07:03