![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 910 Pomógł: 44 Dołączył: 20.02.2008 Skąd: Łódź Ostrzeżenie: (20%) ![]() ![]() |
Witam. Wpadłem znów na genialny pomyśł opracowania skryptu includującego strone. Oto jego Skrypt:
I teraz zaczoł się problem. A mianowicie. URL wygląda tak :index.php?name=home zmienna $get_name = home zmienna $file nie jest równa zmiennej $get_name ponieważ zmienna $file powinna przybrac wartosc home.php a home != home.php I wpadłem na kolejny genialny pomysł. Oto on: dodac do $get_name koncówke .php i wtedy $get_name bedzie rowna $file. Problem jest w tym, że nie wiem jak można dodac tą końcówkę i czy wogóle się da to zrobic. Czy macie jakieś propozycje?(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ? |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Moderatorzy Postów: 6 072 Pomógł: 861 Dołączył: 10.12.2003 Skąd: Dąbrowa Górnicza ![]() |
Chodzi o to ze tam tez jest LFI przeciez sprawdzasz czy jaki kolwiek plik ktory sie poda do get'a jest na servie miec mozna includowac wszystko etc/passwd/ i czasami ladujac pliki php sa fajne efekty albo robi sie petla podczac include etc albo przy fyckjach plikowych widac zrodlo (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Pozwolę zacytować sam siebie: Racja. Ale w sumie wystarczy przelecieć $_GET['page'] funkcją basename() i już uniemożliwisz wyjście poza wskazany katalog. Szkoda babrać się z tablicami czy switchami. I po sprawie. basename()" title="Zobacz w manualu PHP" target="_manual zwróci ostatni człon ścieżki podanej w adresie więc kombinacje typu /etc/passwd czy ../../etc/passwd nie przejdą, bo będzie szukany plik ./pages/passwd.php |
|
|
![]() ![]() |
![]() |
Aktualny czas: 12.10.2025 - 22:40 |