[PHP] md5 i nazwy plików Opcje

[julek12]

Witam,
Mam takie pytanie. Ponieważ wszyscy mówią, że niebezpiecznie jest includować plik z GET'a, ale ja wpadłem na pomysł żeby nazwy plików były szyfrowane w md5 i GET także bez żadnych innych zabezpieczeń. Czy jest to dobre rozwiązanie czy niekoniecznie.

[skowron-line]

@julek12 słabe

[PHP] pobierz, plaintext 
echo md5( 'plik.php' );
[PHP] pobierz, plaintext 

Kod

027e6723308699e906f39677430320b4

Według mnie to jest żadne zabezpieczenie tym bardziej że md5 został złamany i jak już to sha256.

[piotr94]

md5 został złamany

a skąd masz takie informacje?? mógłbyś podać źródło bo jest to ciekawe...
co do zabezpieczenia geta są 2 opcje:
1.

[PHP] pobierz, plaintext 
$_GET['strona']=st_replace('..','_',$_GET['strona']);
include('./katalog_ze_skryptami/'.$_GET['strona'].'.php');
[PHP] pobierz, plaintext 

tu zabezpieczenie polega na tym że wtedy unikasz zmiany katalogu na inny niż wskazany i dołączania plików poprzez http://
2.

[PHP] pobierz, plaintext 
switch($_GET['strona']){
case 'jakas_strona':
include('./katalog_ze_stronami/jakas_strona.php');
break;
default:
include('./katalog_ze_stronami/podana_strona_nie_jest_dozwolona.php');
break;
}
[PHP] pobierz, plaintext 

tu używasz switcha, który dopuszcza na includoiwanie tylko plików przez Ciebie dozwolonych, w przypadku próby oszukania systemu zostanie dołączony plik podany w warunku default:
można także użyć tablicy plików dozwolonych, czyli metoda 3:

[PHP] pobierz, plaintext 
$dozwolone_strony = array('dozwolona_strona','dozwolona_strona2');
if(in_array($_GET['strona'],$dozwolone_strony)){
include('./katalog_ze_stronami/'.$_GET['strona'].'.php');
}
[PHP] pobierz, plaintext 

osobiście polecam zawsze, dla zachowania porządku umieszczać wszystkie pliki do dołączenia w jednym katalogu, żeby na serwerze był porządek, czyli tak jak w przykładach /katalog_ze_stronami
a co do Twojej metody z md5, to trochę to zrobi bałaganu na serwerze z nazwami plików (po prostu przy 100 możliwych plikach do dołączenia odnalezienie właściwego będzie graniczyć z cudem), a są duuużo prostsze metody skutecznie zabezpieczające stronę, jak w moim poście przeczytałeś

Ten post edytował piotr94 21.11.2009, 10:26:44

[skowron-line]

a skąd masz takie informacje?? mógłbyś podać źródło bo jest to ciekawe...

Się czyta prasę kolorową.
http://www.md5crack.com/crackmd5.php proszę bardzo hasło dla gógla to "md5 cracker"

Ten post edytował skowron-line 21.11.2009, 10:38:01