Kod Źródłowy pliku w PHP Opcje

[Anonimowy]

Mam do was pytanko. Czy ktoś z was umiałby napisać skrypt który pokaże kod źródłowy nieprzetworzonego jeszcze przez serwer pliku php? Jeśli tak to napiszcie mi kod takiego skryptu na maila sparxem@op.pl Z góry ThanX.

Ten post edytował Anonimowy 28.01.2005, 17:56:39

[dr_bonzo]

Co za problem
file_get_contents()
a potem print()
ale nie o to ci chodzilo?

[DeyV]

na tym polega bezpieczeństwo php, że nie jest to możliwe. Inaczej każdy np. pobrałby sobie kod .. Allegro. Ciekawe - ile jest warty...
Przenosze

[sztosz]

Kolega hyba chciał cos shakowac ale nie wie jak

[spenalzo]

Kolega pewnie ma zlecenie i chciał mieć gotowy skrypt (no offence )

[scanner]

na tym polega bezpieczeństwo php, że nie jest to możliwe. Inaczej każdy np. pobrałby sobie kod .. Allegro. Ciekawe - ile jest warty...
Przenosze

Niewiele - za bardzo siada przy dużym obciążeniu.
DeyV: napiszemy nowy engine i im sprzedamy - myślę, że za 30.000 by poszedł.

[awides]

Niewiele - za bardzo siada przy dużym obciążeniu.

jak kod nie jest optymalnie napisany to niewiele trzeba żeby go "unieruchomić"
(nieważne w jakim języku jest napisany)

[hawk]

A co to znaczy "optymalnie napisany"?

[Bakus]

W poście nie było napisane na jakim serwerze... proponuję więc zamiast pisać, że z innych serwerów się nie da, pokazać, że na lokalnym się da takie coś zrobić...
Posłużę się funkcją highlight_file" title="Zobacz w manualu PHP" target="_manual

[PHP] pobierz, plaintext 
<?php
	// Kod pliku np. source.php
	highlight_file($GET[&#092;"file\"]);
?>
[PHP] pobierz, plaintext 

By zobaczyć źródło pliku index.php z katalogu w ktorym umieszczony jest ten kod (dla przykladu jako source.php) wywolujemy w przegladarce:
http://localhost/source.php?file=index.php
Jednak nie jest to rozwiązanie bezpieczne... pozwala na przeglądnięcie zawartości dowolnego pliku...
http://localhost/source.php?file=/etc/passwd - zawartosc pliku z haslami w systemie linux stoi przed nami otworem...
Jeżeli chcesz cos takiego umieścić w sieci to będziesz się musiał napocić z zabezpieczeniem dostępu do tego...

[awides]

@hawk
Stronicowanie #1 (krytyczna luka: brak filtrowania tablic... można unieruchomić program )

Stronicowanie #2: wersja optymalna

[PHP] pobierz, plaintext 
<?php
 
class Stronicowanie
{
	public static $url;
 
	private static function prepare($name) {
		return basename(escapeshellcmd(strip_tags($name)));		   
	}	 
	private static function strLink($id, &$i, $f, $e)
	{		  
		echo '<a href=\"'.self::$url.'?id='.$id.'&st='.$i.'\">[ '.$i.' ]</a> ';		
		if ($f == 2 && $e > 4)
		echo '... <a href=\"'.self::$url.'?id='.$id.'&st='.$e.'\">[ '.$e.' ]</a> ';  
	}	
	public static function strPage($id)
	{
		$wynik = mysql_query(&#092;"zapytanie\"); //z uzyciem $id...	
		$iloscElementow = mysql_result($wynik, 0, 'zapytanie');
 
		$i = $iloscElementow / 15;
		gettype($i) == 'integer' ? '' : $i = (int)$i + 1;   
		$e = $i;
		if($e > 4) $eF = 3; else $eF = $i;
 
		@$nrSt = self::prepare($_GET['st']);
		if(empty($nrSt)) $nrSt = 1;
 
		if($nrSt < $i-2 && $nrSt != 1 && $e > 4) $i -= ($i - $nrSt)+1;
		else if($i-2 <= $nrSt && $e > 4) $i -= 3;
		else if($nrSt == 1 && $e > 4) $i = 1;
		else if($e <= 4) $i = 1;		 
 
		for ($f = 0; $f < $eF; $f++) {
			self::strLink($id, $i, $f, $e);
			$i++;
		}
	}
}
Stronicowanie::$url = 'adres.php';
Stronicowanie::strPage(26);
 
?>
[PHP] pobierz, plaintext 

~45% mniej kodu... efekt ten sam

@Anonimowy
jeżeli chodzi o źródło, możesz złamać zabezpieczenia serwera (jeżeli na serwerze jest gg i do tego używane przez admina lub kogoś innego to sciągasz odpowiednie programy i bierzesz co ci jest potrzebne - oczywiście odradzam takie działania, powinny być raczej testowane na własnym sprzęcie w celu podniesienia bezp.)

innego sposobu raczej nie ma... tylko te nielegalne

stronka o szeroko pojętym bezpieczeństwie

Ten post edytował awides 1.02.2005, 21:09:14