Делаю онлайн статистику профиля, и стата берётся из файла, тип файла .ini как добавить это в переменную?
Переменная:
$nick = $_GET['nick'];
Путь до файла, чтобы он читался
{$file = @file("/scriptfiles/var/acf1/".$nick);}
как есть:
$nick = Aks1d;
{$file = @file("/scriptfiles/var/acf1/Aks1d);}
Как хотелось бы:
$nick = Aks1d;
{$file = @file("/scriptfiles/var/acf1/Aks1d.ini);}
Заранее благодарен!
Спустя 32 минуты, 46 секунд (11.10.2010 - 10:48) waldicom написал(а):
видимо так:
$file = @file("/scriptfiles/var/acf1/".$nick . '.ini');
но такая конструкция позволяет прочитать может привести к тому, что можно прочитать любые данные, доступные для пользователя, под которым запущен веб-сервер.
Короче: так делать нельзя.
$file = @file("/scriptfiles/var/acf1/".$nick . '.ini');
но такая конструкция позволяет прочитать может привести к тому, что можно прочитать любые данные, доступные для пользователя, под которым запущен веб-сервер.
Короче: так делать нельзя.
Спустя 25 минут, 59 секунд (11.10.2010 - 11:14) Aks1d написал(а):
Большое спасибо, помогло, а данные они не прочитают так как они засекречены, и находятся на другом хосте, и без логина и пароля это не возможно!
Спустя 13 минут, 8 секунд (11.10.2010 - 11:27) waldicom написал(а):
| Цитата (Aks1d @ 11.10.2010 - 10:14) |
| Большое спасибо, помогло, а данные они не прочитают так как они засекречены, и находятся на другом хосте, и без логина и пароля это не возможно! |
Хм...
А что если я вызову Ваш скрипт вот так:
http://domain.com/yourScript?nick=../../../../etc/passwd
Спустя 14 минут, 45 секунд (11.10.2010 - 11:42) Aks1d написал(а):
ничего, так как неизвсно как там дальше засекречено, и это нигде не показывается