[PHP] md5 i nazwy plików Opcje

[julek12]

Witam,
Mam takie pytanie. Ponieważ wszyscy mówią, że niebezpiecznie jest includować plik z GET'a, ale ja wpadłem na pomysł żeby nazwy plików były szyfrowane w md5 i GET także bez żadnych innych zabezpieczeń. Czy jest to dobre rozwiązanie czy niekoniecznie.

[Agape]

Nie jestem expertem, ale myślę, że to genialne. Osoba nie będzie miała dostępu do "normalnych" plików, tylko tylko do tych których nazwa jest zmieniona przez MD5. Ale i tak chyba trzeba filtrować dane od użytkownika, żeby nie wstrzyknął kodu który wykona dodatkowo coś innego.

[wookieb]

No to bedziesz miał cholernie przyjazne urle...
Jest wiele innych rozwiązań opartych np o modrewrite i proste filtrowanie danych w urlu. To nie jest takie trudne.

[julek12]

Ja myślałem o czymś takim:
kod strony....

[PHP] pobierz, plaintext 
if (file_exists('./'.md5($_GET["adres"]).'.php'))
{
include('./'.md5($_GET["adres"]).'.php');
}
else
{
include('./cos.php');
}
[PHP] pobierz, plaintext 

i mam normalnie index.php?adres=podstrona
albo moge zastosować mod_rewrite, ale co o tym sądzicie?

Ten post edytował julek12 21.11.2009, 08:51:13

[skowron-line]

@julek12 słabe

[PHP] pobierz, plaintext 
echo md5( 'plik.php' );
[PHP] pobierz, plaintext 

Kod

027e6723308699e906f39677430320b4

Według mnie to jest żadne zabezpieczenie tym bardziej że md5 został złamany i jak już to sha256.

[piotr94]

md5 został złamany

a skąd masz takie informacje?? mógłbyś podać źródło bo jest to ciekawe...
co do zabezpieczenia geta są 2 opcje:
1.

[PHP] pobierz, plaintext 
$_GET['strona']=st_replace('..','_',$_GET['strona']);
include('./katalog_ze_skryptami/'.$_GET['strona'].'.php');
[PHP] pobierz, plaintext 

tu zabezpieczenie polega na tym że wtedy unikasz zmiany katalogu na inny niż wskazany i dołączania plików poprzez http://
2.

[PHP] pobierz, plaintext 
switch($_GET['strona']){
case 'jakas_strona':
include('./katalog_ze_stronami/jakas_strona.php');
break;
default:
include('./katalog_ze_stronami/podana_strona_nie_jest_dozwolona.php');
break;
}
[PHP] pobierz, plaintext 

tu używasz switcha, który dopuszcza na includoiwanie tylko plików przez Ciebie dozwolonych, w przypadku próby oszukania systemu zostanie dołączony plik podany w warunku default:
można także użyć tablicy plików dozwolonych, czyli metoda 3:

[PHP] pobierz, plaintext 
$dozwolone_strony = array('dozwolona_strona','dozwolona_strona2');
if(in_array($_GET['strona'],$dozwolone_strony)){
include('./katalog_ze_stronami/'.$_GET['strona'].'.php');
}
[PHP] pobierz, plaintext 

osobiście polecam zawsze, dla zachowania porządku umieszczać wszystkie pliki do dołączenia w jednym katalogu, żeby na serwerze był porządek, czyli tak jak w przykładach /katalog_ze_stronami
a co do Twojej metody z md5, to trochę to zrobi bałaganu na serwerze z nazwami plików (po prostu przy 100 możliwych plikach do dołączenia odnalezienie właściwego będzie graniczyć z cudem), a są duuużo prostsze metody skutecznie zabezpieczające stronę, jak w moim poście przeczytałeś

Ten post edytował piotr94 21.11.2009, 10:26:44

[julek12]

To są tylko moje rozważania ja sam mam takie zabezpieczenie:

[PHP] pobierz, plaintext 
							<?php
							if (file_exists('./includes/szablon/podstrony/'.trim(strip_tags(basename($_GET["adres"]))).'.php'))
							{
								include('./includes/szablon/podstrony/'.trim(strip_tags(basename($_GET["adres"]))).'.php');
							}
							else
							{
								include('./includes/szablon/podstrony/news.php');
							}
							?>
[PHP] pobierz, plaintext 

[skowron-line]

a skąd masz takie informacje?? mógłbyś podać źródło bo jest to ciekawe...

Się czyta prasę kolorową.
http://www.md5crack.com/crackmd5.php proszę bardzo hasło dla gógla to "md5 cracker"

Ten post edytował skowron-line 21.11.2009, 10:38:01