Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> zabezpieczenia
madalena
post
Post #1





Grupa: Zarejestrowani
Postów: 24
Pomógł: 0
Dołączył: 14.10.2003

Ostrzeżenie: (0%)
-----

Ostatnio dużo czytałem o zabezpieczeniech danych przesyłanych drogą post i get
Nawet w prowadzonym przez mnie serwisie stosując stare techniki ktoś odczytał plik d.php gdzie przechowywane sa hasła

i zaproponował mi zmainą poniższego kodu na następujący

[php:1:38b804c758]<?php
if ((!isset($plik)) || ($plik==""))
{
include("aktualnosci.php");
}
else
{
include($plik);
}
?>[/php:1:38b804c758]

na następujący

[php:1:38b804c758]<?php
$plik = $HTTP_GET_VARS['plik'];
if ($plik||!file_exists($plik))
{
include("aktualnosci.php");
}
else
{
include($plik);
}
?>[/php:1:38b804c758]

Czy to jest poprawne i nie ma zadnego haka

i jak bylo to mozliew ze sprawdzili moje hasła

___
[scanner] Zmoderowane. Prosze używac BBCode
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Zepco
post
Post #2





Grupa: Zarejestrowani
Postów: 71
Pomógł: 0
Dołączył: 5.09.2003
Skąd: Kielce

Ostrzeżenie: (0%)
-----

IMHO ten drugi zapis jest bezpieczny.
Natomiast w pierwszym jest include, który nie sprawdza gdzie dany skrypt się znajduje, przez co można otworzyć skrypty z innych serwerów np:
http://twoja.strona.pl/?plik=http://forum....hp.pl/index.php
Oczywiście zamiast index.php można dać inny skrypt, który może zrobić to co chce jego autor.
Go to the top of the page
+Quote Post

Posty w temacie
- madalena   zabezpieczenia   20.10.2003, 10:11:29
- - Zepco   IMHO ten drugi zapis jest bezpieczny. Natomiast w ...   20.10.2003, 11:04:21
- - spenalzo   <?php if(!file_exists($plik)) { include("404.p...   20.10.2003, 11:15:09
- - kwiateek   Cytat<?php if(!file_exists($plik)) { include("...   20.10.2003, 20:55:41
- - spenalzo   W takim przypadku: <?php $plik = '/etc/passwd';...   20.10.2003, 21:30:29
- - KaMeLeOn   Panowie Miramar i PrZeMoL... Uwagami na temat wypo...   21.10.2003, 00:00:21
- - Kinool   hmm no wlasnie trapi mi pewna sprawa jak kto robi ...   21.10.2003, 09:42:35
- - madalena   wyjasnijcie mi jeszcze jakim cudem koles odczytal ...   21.10.2003, 14:40:45
- - CyklOP   CytatIMHO ten drugi zapis jest bezpieczny. Natomia...   21.10.2003, 16:22:59
- - Kinool   no chyba troche zakreciles Cyklop jesli np za mam...   21.10.2003, 19:49:11
- - CyklOP   Teoretycznie tak, ale wlasnie on jakos umozliwia t...   21.10.2003, 20:11:12
- - marcin96   Cytat[..]a jego wynik zostanie przeslany na server...   21.10.2003, 20:31:16
- - jono   ja sobie to rozwiązałem zapisując w tablicy na szt...   22.10.2003, 07:16:58
- - bulek   A moze skorzystac z funckji basename ktora wyciagn...   23.10.2003, 07:53:21

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 6.10.2025 - 14:49
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn