Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> zabezpieczenia
madalena
post
Post #1





Grupa: Zarejestrowani
Postów: 24
Pomógł: 0
Dołączył: 14.10.2003

Ostrzeżenie: (0%)
-----

Ostatnio dużo czytałem o zabezpieczeniech danych przesyłanych drogą post i get
Nawet w prowadzonym przez mnie serwisie stosując stare techniki ktoś odczytał plik d.php gdzie przechowywane sa hasła

i zaproponował mi zmainą poniższego kodu na następujący

[php:1:38b804c758]<?php
if ((!isset($plik)) || ($plik==""))
{
include("aktualnosci.php");
}
else
{
include($plik);
}
?>[/php:1:38b804c758]

na następujący

[php:1:38b804c758]<?php
$plik = $HTTP_GET_VARS['plik'];
if ($plik||!file_exists($plik))
{
include("aktualnosci.php");
}
else
{
include($plik);
}
?>[/php:1:38b804c758]

Czy to jest poprawne i nie ma zadnego haka

i jak bylo to mozliew ze sprawdzili moje hasła

___
[scanner] Zmoderowane. Prosze używac BBCode
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
spenalzo
post
Post #2





Grupa: Zarejestrowani
Postów: 2 064
Pomógł: 1
Dołączył: 22.01.2003
Skąd: Poznań

Ostrzeżenie: (0%)
-----

W takim przypadku:
[php:1:d4636a2cf5]<?php
$plik = '/etc/passwd';
if(!file_exists($plik))
{
include("404.php");
}
else
{
// wykona sie ten warunek
include("./etc/passwd");
}
?>[/php:1:d4636a2cf5]
I skrypt się wysypie - bo nie ma takiego pliku w bieżącym (./) katalogu.

Ale poprawnie skrypt powinien wyglądać tak:
[php:1:d4636a2cf5]<?php
if(!file_exists("./".$plik))
{
include("404.php");
}
else
{

include("./".$plik);
}
?>[/php:1:d4636a2cf5]
Go to the top of the page
+Quote Post

Posty w temacie
- madalena   zabezpieczenia   20.10.2003, 10:11:29
- - Zepco   IMHO ten drugi zapis jest bezpieczny. Natomiast w ...   20.10.2003, 11:04:21
- - spenalzo   <?php if(!file_exists($plik)) { include("404.p...   20.10.2003, 11:15:09
- - kwiateek   Cytat<?php if(!file_exists($plik)) { include("...   20.10.2003, 20:55:41
- - spenalzo   W takim przypadku: <?php $plik = '/etc/passwd';...   20.10.2003, 21:30:29
- - KaMeLeOn   Panowie Miramar i PrZeMoL... Uwagami na temat wypo...   21.10.2003, 00:00:21
- - Kinool   hmm no wlasnie trapi mi pewna sprawa jak kto robi ...   21.10.2003, 09:42:35
- - madalena   wyjasnijcie mi jeszcze jakim cudem koles odczytal ...   21.10.2003, 14:40:45
- - CyklOP   CytatIMHO ten drugi zapis jest bezpieczny. Natomia...   21.10.2003, 16:22:59
- - Kinool   no chyba troche zakreciles Cyklop jesli np za mam...   21.10.2003, 19:49:11
- - CyklOP   Teoretycznie tak, ale wlasnie on jakos umozliwia t...   21.10.2003, 20:11:12
- - marcin96   Cytat[..]a jego wynik zostanie przeslany na server...   21.10.2003, 20:31:16
- - jono   ja sobie to rozwiązałem zapisując w tablicy na szt...   22.10.2003, 07:16:58
- - bulek   A moze skorzystac z funckji basename ktora wyciagn...   23.10.2003, 07:53:21

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 14.09.2025 - 17:51
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn