http://life/index.php?content=../../index.php
Спустя 9 минут, 49 секунд (7.04.2009 - 14:32) FatCat написал(а):
А чем оно страшно?
Спустя 10 минут, 19 секунд (7.04.2009 - 14:42) stepan написал(а):
да вот мне указали на такое у, меня есть сайт www.life-beznarkot.tu2.ru
если войти вот так www.life-beznarkot.tu2.ru/index.php?content=../../admin.php то видно весь код на ружу и крути да верти.
если войти вот так www.life-beznarkot.tu2.ru/index.php?content=../../admin.php то видно весь код на ружу и крути да верти.
Спустя 1 час, 43 минуты, 22 секунды (7.04.2009 - 16:26) stepan написал(а):
$inc = str_replace('http','',$_GET['inc']);
$inc = str_replace('ftp','',$_GET['inc']);
$inc = str_replace(':','',$_GET['inc']);
$inc = str_replace('/','',$_GET['inc']);
$inc = str_replace('\\','',$_GET['inc']);
$inc = str_replace('.','',$_GET['inc']);
Я впоймал клина
$inc = str_replace('ftp','',$_GET['inc']);
$inc = str_replace(':','',$_GET['inc']);
$inc = str_replace('/','',$_GET['inc']);
$inc = str_replace('\\','',$_GET['inc']);
$inc = str_replace('.','',$_GET['inc']);
Я впоймал клина
Спустя 3 минуты, 25 секунд (7.04.2009 - 16:29) FatCat написал(а):
$_GET['content'] подставляется в строку запроса чтения файла?
Такие конструкции лучше изначально не строить.
А вообще, вот парсер входящих, работающий в нашем форуме:
Дальше все обращения идут уже к элементам массива:
Такие конструкции лучше изначально не строить.
А вообще, вот парсер входящих, работающий в нашем форуме:
Свернутый текст
PHP |
function parse_incoming() |
Дальше все обращения идут уже к элементам массива:
PHP |
$ibforums->input['showtopic'] |
и т.д.
Спустя 5 часов, 7 минут, 9 секунд (7.04.2009 - 21:36) kirik написал(а):
Цитата (stepan @ 7.04.2009 - 06:22) |
Помогите пожалуйста я не пойму как фильтровать URL т.е. как уберечся от такого |
тупо создай массив разрешенных страниц, и при запросе проверяй, есть-ли такая страница или нет.
Типа:
PHP |
$path = '/home/stepan/www'; |