<?php
$url = phpforum.ru
$xack = file_get_contents('.$url./robots.txt');
if(strstr($xack[0], '200') !== false){
echo 'Есть';}
else{
echo 'Нету';}
echo '<pre>'.(print_r($xack, 1)).'</pre>';
?>
Почему выводит ошибку?Помогите исправить пожалуйста...
Ошибка-Warning: file_get_contents(.$url./robots.txt) [function.file-get-contents]: failed to open stream: No such file or directory in
Спустя 2 минуты, 13 секунд (4.01.2012 - 13:59) zeromind написал(а):
мне кажится вот тут : $xack = file_get_contents('.$url./robots.txt');
перед $url точка не нужна..
перед $url точка не нужна..
Спустя 1 минута, 31 секунда (4.01.2012 - 14:01) zeromind написал(а):
и вообще вместо '.$url./robots.txt' , надо $url.'/robots.txt', переменная не отработает в одинарных ковычках
Спустя 24 минуты, 42 секунды (4.01.2012 - 14:25) Ulan написал(а):
даже наверное так
'http://' . $url . '/robots.txt'
Спустя 14 минут, 9 секунд (4.01.2012 - 14:39) caballero написал(а):
вообще то если грамотно но вот так
"{$url}/robots.txt"
Спустя 21 минута, 14 секунд (4.01.2012 - 15:01) Эли4ка написал(а):
Спасибо,сейчас попробую..
Спустя 12 минут, 46 секунд (4.01.2012 - 15:13) Эли4ка написал(а):
Все заработало-спасибо. 
Спустя 9 минут, 24 секунды (4.01.2012 - 15:23) Эли4ка написал(а):
А что это за ошибка-Warning: file_get_contents(mail.ru) [function.file-get-contents]: failed to open stream: No such file or directory in F:\home\test1.ru\subdomain\crawler\crawler.php on line 16
Спустя 2 минуты, 37 секунд (4.01.2012 - 15:25) Winston написал(а):
| Цитата (Эли4ка @ 4.01.2012 - 14:23) |
| failed to open stream: No such file or directory |
Подсказать адрес переводчика?
Спустя 4 минуты, 8 секунд (4.01.2012 - 15:30) Эли4ка написал(а):
Winston
да я уже перевела это давно..но вот код-
да я уже перевела это давно..но вот код-
$url = htmlspecialchars(stripslashes($_POST['q']));,а в чем ошибка?
$page = file_get_contents($url);
file_put_contents('file.txt', $page);
Спустя 5 минут, 35 секунд (4.01.2012 - 15:35) Winston написал(а):
Эли4ка
Синтаксис верный. Но ошибка может быть вызвана если ты передашь в $_POST['q'] адрес, который не сможет открыть ф-я file_get_contents(). Или же ошибка может возникнуть если не существует файла file.txt и file_put_contents() не сможет произвести запись в него.
PS: Но зачем ты обрабатываешь URL адрес ф-ми stripslashes и htmlspecialchars, я так и не понял
Синтаксис верный. Но ошибка может быть вызвана если ты передашь в $_POST['q'] адрес, который не сможет открыть ф-я file_get_contents(). Или же ошибка может возникнуть если не существует файла file.txt и file_put_contents() не сможет произвести запись в него.
PS: Но зачем ты обрабатываешь URL адрес ф-ми stripslashes и htmlspecialchars, я так и не понял
Спустя 2 минуты, 3 секунды (4.01.2012 - 15:37) Игорь_Vasinsky написал(а):
caballero
| Цитата |
| вообще то если грамотно но вот так "{$url}/robots.txt" |
не понял, а это
$url.'robots.txt'
чем безграмотнее???
Спустя 40 секунд Игорь_Vasinsky написал(а):
Winston
видимо просто потом из файла выводит исходным кодом на страницу
Спустя 1 минута, 33 секунды (4.01.2012 - 15:39) Winston написал(а):
Это
| Цитата (Игорь_Vasinsky @ 4.01.2012 - 14:37) |
| "{$url}/robots.txt" |
Аналогично этому
| Цитата (Игорь_Vasinsky @ 4.01.2012 - 14:37) |
| $url.'/robots.txt' |
Разница только в визуальном оформлении
Спустя 1 минута, 26 секунд (4.01.2012 - 15:40) caballero написал(а):
Проблема не в коде а в том что он файл не находит
| Цитата |
| failed to open stream: No such file or directory in F:\home\test1.ru\subdomain\crawler\crawler.php |
Не могу открыть файл. Нет такого файла или директории F:\home\test1.ru\subdomain\crawler\crawler.php
переводчик точно был англо-русский а не англо-таджикский?
Спустя 1 минута, 8 секунд (4.01.2012 - 15:41) Эли4ка написал(а):
Winston
но вдруг что-нибудь не то введут..
передаваемый адрес mail.ru..
но вдруг что-нибудь не то введут..
передаваемый адрес mail.ru..
Спустя 47 секунд (4.01.2012 - 15:42) Эли4ка написал(а):
файл кстати создается,но он остается пустым...
Спустя 52 секунды (4.01.2012 - 15:43) caballero написал(а):
| Цитата |
| Разница только в визуальном оформлении |
Что немаловажно для читабельности
а еще не заставляет компилятор вычислять где заканчивается переменная (если без скобок) и не заставляет компилятор делать такую ресурсоемкую операцию как склеивание строк (если через точку)
Спустя 43 секунды caballero написал(а):
| Цитата |
| файл кстати создан... |
тогда права проверить- может доступа нет
Спустя 53 секунды (4.01.2012 - 15:44) Winston написал(а):
| Цитата (Эли4ка @ 4.01.2012 - 14:41) |
| но вдруг что-нибудь не то введут.. передаваемый адрес mail.ru.. |
А что мешает написать регулярку, или даже filter_var() использовать ?
Спустя 2 минуты, 13 секунд (4.01.2012 - 15:46) Эли4ка написал(а):
вот весь код,использую операционную систему Windows
<html>
<head>
<title>---</title>
</head>
<body>
<form action="crawler.php" method="POST">
<input type="text" value="mail.ru" name="q"/>
<input type="submit" value="" />
</form>
</body>
<?php
if(!empty($_POST['q'])) {
$url = htmlspecialchars(stripslashes($_POST['q']));
$page = file_get_contents($url);
file_put_contents('file.txt', $page);
}
?>
Спустя 5 минут, 7 секунд (4.01.2012 - 15:51) Игорь_Vasinsky написал(а):
| Цитата |
| Что немаловажно для читабельности |
это дел вкуса, я сразу определился - ковычки, и не использую {}, так что... палка о 2х концах
Спустя 2 минуты, 14 секунд (4.01.2012 - 15:53) Эли4ка написал(а):
Игорь_Vasinsky
так не подскажете ,что делать то?
так не подскажете ,что делать то?
Спустя 3 минуты, 2 секунды (4.01.2012 - 15:56) Winston написал(а):
Если у тебя код находится в одном файле, то может стоит убрать crawler.php из атрибута action?
Спустя 2 минуты, 5 секунд (4.01.2012 - 15:59) Эли4ка написал(а):
Winston
не совсем поняла..
не совсем поняла..
Спустя 1 минута, 28 секунд (4.01.2012 - 16:00) Winston написал(а):
<form action="crawler.php" method="POST">
Убери crawler.php оставь просто, пустые кавычки ""
Спустя 11 минут, 7 секунд (4.01.2012 - 16:11) caballero написал(а):
| Цитата |
| файл кстати создается,но он остается пустым... |
а с чего бы ему не создаватся
| Цитата |
| Убери crawler.php оставь просто, пустые кавычки "" |
сути не меняет - а в следующий раз она забудет ввести если нужно
Так все таки что именно вводиться в поле input? А том вместо по делу пошли советы где какой цветок разместить
Спустя 3 минуты, 10 секунд (4.01.2012 - 16:14) Winston написал(а):
| Цитата (caballero @ 4.01.2012 - 15:11) |
| сути не меняет - а в следующий раз она забудет ввести если нужно |
Ну так после нажатия на кнопку её перекинет на файл crawler.php, а php код так и не выполнится, т.к. он находится в одном файле с формой
Спустя 5 минут (4.01.2012 - 16:19) caballero написал(а):
| Цитата |
| Ну так после нажатия на кнопку её перекинет на файл crawler.php, а php код так и не выполнится, т.к. он находится в одном файле с формой |
Я предполагал что это и есть этот файл.
в любом случае ошибка вроде в ожидаемом коде (точнее не в коде а в данных)
вот только понять бы что в форму вводится
Спустя 11 минут, 15 секунд (4.01.2012 - 16:31) Winston написал(а):
| Цитата (caballero @ 4.01.2012 - 15:19) |
| вот только понять бы что в форму вводится |
URL адрес. А потом грабится исходный код сайта, по этому адресу.
Спустя 2 минуты, 42 секунды (4.01.2012 - 16:33) caballero написал(а):
| Цитата |
| URL адрес. А потом грабится исходный код сайта, по этому адресу. |
терзают смутные сомненья что это адреc
потому как mail.ru может быть и сайтом и файлом и FTP и SMTP и чем угодно
убедится бы что протокол проставляется иначе оно будет искать файл с именем mail.ru
Спустя 1 час, 12 минут, 22 секунды (4.01.2012 - 17:46) SlavaFr написал(а):
а вдруг ктото .htaccess или просто url этого же скрипта введет?
Спустя 39 минут, 57 секунд (4.01.2012 - 18:26) caballero написал(а):
| Цитата |
| а вдруг ктото .htaccess или просто url этого же скрипта введет? |
и что?
Спустя 1 час, 1 минута, 21 секунда (4.01.2012 - 19:27) SlavaFr написал(а):
если этот же url введен, то это приводет к рекрусивному вызову этого скрипта.
если .htaccess будет содержать например authentication basic и выдоватся на странице, то хакеру будет проще разгодать юзера и пароль. малотого с таким же успехом может вызыватся какой нибуди .ini или config.php где например ftp, mysql ......... и другие интерессные passwords стоят.
если .htaccess будет содержать например authentication basic и выдоватся на странице, то хакеру будет проще разгодать юзера и пароль. малотого с таким же успехом может вызыватся какой нибуди .ini или config.php где например ftp, mysql ......... и другие интерессные passwords стоят.
Спустя 21 минута, 14 секунд (4.01.2012 - 19:48) caballero написал(а):
| Цитата |
| если этот же url введен, то это приводет к рекрусивному вызову этого скрипта. если .htaccess будет содержать например authentication basic и выдоватся на странице |
ни то ни другое в данном куске кода не делается,
в смысле не вызывается и на страницу не выдается
Спустя 1 час, 32 минуты, 53 секунды (4.01.2012 - 21:21) Guest написал(а):
я имею в виду ее код
$url = htmlspecialchars(stripslashes($_POST['q']));
$page = file_get_contents($url);
file_put_contents('file.txt', $page);
Спустя 13 минут, 42 секунды (4.01.2012 - 21:35) caballero написал(а):
| Цитата |
| я имею в виду ее код |
я тоже
тем более код ходит за данными на другой сайт а не на свой
Спустя 3 минуты (4.01.2012 - 21:38) Игорь_Vasinsky написал(а):
там же урл ставиться и не проверяется.. можно на домен скрипта направить
Спустя 17 минут, 43 секунды (4.01.2012 - 21:55) SlavaFr написал(а):
| Цитата (Игорь_Vasinsky @ 4.01.2012 - 18:38) |
| там же урл ставиться и не проверяется.. можно на домен скрипта направить |
так точно.
пиши в $_POST["q"] что хочеш
Спустя 1 час, 14 минут, 51 секунда (4.01.2012 - 23:10) caballero написал(а):
| Цитата |
| там же урл ставиться и не проверяется.. можно на домен скрипта направить |
Данный скрипт тупо пишет вынутый контент на диск
и какая разницы куда он направлен -клиент не может изменить поведение серверного скрипта
прежде чем совместными потугами найти тут несуществующую дырку в секюрити прочитайте что данный код делает
поводите пальцем по экрану - вот я ввел адрес
идем дальше ....
Спустя 6 минут, 53 секунды (4.01.2012 - 23:17) Игорь_Vasinsky написал(а):
да 10 раз уже прочитали.
ламмер ставит скрипт на сайт и понтуется, а я воспользовавшись тем что он ламмер (и не ставит соотв-е права на файлы) начинаю методом тыка перебирать файлы, получаю исходники, разыскиваю дыры и потом глумлюсь.
начинаю с
http://lammer.true/index.php
ламмер ставит скрипт на сайт и понтуется, а я воспользовавшись тем что он ламмер (и не ставит соотв-е права на файлы) начинаю методом тыка перебирать файлы, получаю исходники, разыскиваю дыры и потом глумлюсь.
начинаю с
http://lammer.true/index.php
Спустя 9 минут, 53 секунды (4.01.2012 - 23:27) caballero написал(а):
| Цитата |
| ламмер ставит скрипт на сайт и понтуется, а я воспользовавшись тем что он ламмер (и не ставит соотв-е права на файлы) начинаю методом тыка перебирать файлы, получаю исходники, разыскиваю дыры и потом |
Каким образом ты получаешь исходники? Пойдешь к гадалке и она скажет тебе что данный скрипт пишет содержимое на диск и не куда нибудь в в файл этим вот конкретным именем?
Спустя 41 минута, 7 секунд (5.01.2012 - 00:08) Игорь_Vasinsky написал(а):
вот вмсто ПОСТ моя строка
| Цитата |
| 'ind')); echo htmlspecialchars(file_get_contents('index.php')); ?><!--/** |
$url = htmlspecialchars(stripslashes($_POST['q']));
$page = file_get_contents($url);
file_put_contents('file.txt', $page);
$url = htmlspecialchars(stripslashes('ind')); echo htmlspecialchars(file_get_contents('index.php')); ?><!--/**));
$page = file_get_contents($url);
file_put_contents('file.txt', $page);
малость подшаманить осталось для отмычки
vfkjcnm to
Спустя 25 секунд (5.01.2012 - 00:09) SlavaFr написал(а):
| Цитата (caballero @ 4.01.2012 - 20:27) | ||
Каким образом ты получаешь исходники? Пойдешь к гадалке и она скажет тебе что данный скрипт пишет содержимое на диск и не куда нибудь в в файл этим вот конкретным именем? |
вот она в следующем вопросе укажит свой домен и можно сразу начинать взламывать.
пишеш в пост урл а потом просто читаеш содержимое из file.txt
я не уверен, что мы ей так хотим помоч
Спустя 5 минут, 12 секунд (5.01.2012 - 00:14) caballero написал(а):
| Цитата |
| вот она в следующем вопросе укажит свой домен и можно сразу начинать взламывать. пишеш в пост урл а потом просто читаеш содержимое из file.txt |
во первых не укажет ввиду отсутствия такового
во вторых это просто тестовый код - предполагается что вынутый контент будет парсится для чего то там.
Спустя 2 минуты, 39 секунд (5.01.2012 - 00:16) Игорь_Vasinsky написал(а):
ну наблюдая близница этой темы того же автора (ссылку не помню, но где то рядом) - расчитывать на что то хитро могучее ....... единственное спасение это не показывать демонстацию онлайн... как это было с джонеком 
Спустя 2 минуты, 41 секунда (5.01.2012 - 00:19) Игорь_Vasinsky написал(а):
потом.. flashget - я уже говорил, не помню какая версия - кажет весь листинг директорий сайта... т.е. папка с тхт уже в руках..
лан.. нет смысла развивать тему в этом направлении.... дурачков хватает... заглянет и учиться будет.
лан.. нет смысла развивать тему в этом направлении.... дурачков хватает... заглянет и учиться будет.
Спустя 2 минуты, 17 секунд (5.01.2012 - 00:21) Игорь_Vasinsky написал(а):
| Цитата |
| во вторых это просто тестовый код - предполагается что вынутый контент будет парсится для чего то там. |
все мы знаем какой аппетит у ТС.... завтра новый пост с драг энд дропной галлереей и т.д..без обид.
и это радует.
Спустя 54 минуты, 11 секунд (5.01.2012 - 01:16) inpost написал(а):
Игорь_Vasinsky
Завтра будет Quake в браузере со всей физикой!
Завтра будет Quake в браузере со всей физикой!
Спустя 2 минуты, 29 секунд (5.01.2012 - 01:18) Игорь_Vasinsky написал(а):
Откуда это?
Спустя 1 минута, 5 секунд (5.01.2012 - 01:19) Invis1ble написал(а):
| Цитата |
| Откуда это? |
от ТС же Спустя 2 минуты, 29 секунд (5.01.2012 - 01:22) Игорь_Vasinsky написал(а):
Спустя 2 минуты, 16 секунд (5.01.2012 - 01:24) caballero написал(а):
| Цитата |
| все мы знаем какой аппетит у ТС.... завтра новый пост с драг энд дропной галлереей и т.д.. |
вряд ли
на один пост по теме форума десять о всякой фигне
Спустя 3 минуты, 24 секунды (5.01.2012 - 01:27) inpost написал(а):
caballero
То есть ты думаешь, что завтра ТС задаст вопрос про то, как приготовить: "Лягушачьи лапки, начиненные травами, в шпинате"
То есть ты думаешь, что завтра ТС задаст вопрос про то, как приготовить: "Лягушачьи лапки, начиненные травами, в шпинате"
Спустя 5 часов, 25 минут, 12 секунд (5.01.2012 - 06:53) Dron19 написал(а):
| Цитата (caballero @ 4.01.2012 - 12:43) | ||||
Что немаловажно для читабельности а еще не заставляет компилятор вычислять где заканчивается переменная (если без скобок) и не заставляет компилятор делать такую ресурсоемкую операцию как склеивание строк (если через точку) Спустя 43 секунды caballero написал(а):
тогда права проверить- может доступа нет |
ну вообще-то склеивание строк работает гораздо быстрей чем просто писать переменную в двойных кавычках.
Спустя 4 минуты, 34 секунды (5.01.2012 - 06:57) Игорь_Vasinsky написал(а):
мы говорим о секундах ?
Спустя 8 минут, 44 секунды (5.01.2012 - 07:06) Dron19 написал(а):
| Цитата (Игорь_Vasinsky @ 5.01.2012 - 03:57) |
| мы говорим о секундах ? |
конечно нет!)) Просто поправляю автора поста, говорит неверно Спустя 41 секунда (5.01.2012 - 07:07) Dron19 написал(а):
еще меня удивило то, что php код "Компилируется" "Компилятором PHP"
caballero, ты действительно думаешь что php код налету для отдачи html страницы php интерпритатором написанным в свою очередь на С компилируется и переводится в экзешник, то есть конечный его вид - это машинный код?
caballero, ты действительно думаешь что php код налету для отдачи html страницы php интерпритатором написанным в свою очередь на С компилируется и переводится в экзешник, то есть конечный его вид - это машинный код?
Спустя 1 час, 42 минуты, 10 секунд (5.01.2012 - 08:49) Эли4ка написал(а):
..мда..Причем здесь Drag'n'Drop ?А лягушачьи лапки ??caballero-а это разве запрещено?,но Ваши предположения оказались верными-когда я прописала протокол,то все заработало..
Видимо не все код даже смотрели...и потом я в постах выше писала,что операционная система Windows и какие там права?
Игорь_Vasinsky-но я ведь поставила защиту от html-тегов и скриптов или это не достаточно?
Спустя 1 час, 33 минуты, 54 секунды (5.01.2012 - 10:23) Игорь_Vasinsky написал(а):
запусти свой код (с моей строкой), ещё чуток покавырять и форма такую строку будет хавать.
регулярки.
регулярки.
Спустя 2 часа, 5 минут, 11 секунд (5.01.2012 - 12:28) Эли4ка написал(а):
Игорь_Vasinsky
как понять поковырять?лично я запустила Ваш код и ничего не произошло-показало только ошибку доменного имени..
как понять поковырять?лично я запустила Ваш код и ничего не произошло-показало только ошибку доменного имени..
Спустя 7 минут, 32 секунды (5.01.2012 - 12:35) Игорь_Vasinsky написал(а):
$url = htmlspecialchars(stripslashes('ind')); echo htmlspecialchars(file_get_contents('index.php')); ?><!--/**));
$page = file_get_contents($url);
file_put_contents('file.txt', $page);
и ошибка????
Спустя 5 минут, 54 секунды (5.01.2012 - 12:41) Эли4ка написал(а):
Игорь_Vasinsky
так это сначала код скрипта получить,модифицировать его,а только потом уже...а как Вы думаете я это позволю сделать?
Кстати есть отличная программа обнаружения файлов на сервере путем переборки - nikto
так это сначала код скрипта получить,модифицировать его,а только потом уже...а как Вы думаете я это позволю сделать?
Кстати есть отличная программа обнаружения файлов на сервере путем переборки - nikto
Спустя 28 минут, 58 секунд (5.01.2012 - 13:10) Игорь_Vasinsky написал(а):
не нужно ни чего получать.
методом тыка и подстановки определяется уязвимость. это долгий и крапотливый труд - но зато он этого стоит.
методом тыка и подстановки определяется уязвимость. это долгий и крапотливый труд - но зато он этого стоит.
Спустя 8 минут, 43 секунды (5.01.2012 - 13:19) Эли4ка написал(а):
Игорь_Vasinsky
но если скрипт защищен от записи,данные из поля ввода обрабатываютс,а данные складываются в БД,то что может быть опасного?
но если скрипт защищен от записи,данные из поля ввода обрабатываютс,а данные складываются в БД,то что может быть опасного?
Спустя 1 минута, 25 секунд (5.01.2012 - 13:20) Игорь_Vasinsky написал(а):
Эли4ка
Эличка - скажу прямо - у тебя не выдет (мало опыта). давай ради эксперемента - создай и выложи онлайн форму по этой теме?
Эличка - скажу прямо - у тебя не выдет (мало опыта). давай ради эксперемента - создай и выложи онлайн форму по этой теме?
Спустя 1 минута, 58 секунд (5.01.2012 - 13:22) Эли4ка написал(а):
Игорь_Vasinsky
вот весь код этой формы
Что может быть в нем уязвимого?? :o
вот весь код этой формы
<html>
<head>
<title>---</title>
</head>
<body>
<form action="" method="POST">
<input type="text" value="http://mail.ru/" name="q"/>
<input type="submit" value="Индексировать" />
</form>
</body>
<?php
if(!empty($_POST['q'])) {
$url = trim(htmlspecialchars(stripslashes($_POST['q'])));
$page = file_get_contents($url);
file_put_contents('file.txt', $page);
}
?>
Что может быть в нем уязвимого?? :o
Спустя 2 минуты, 24 секунды (5.01.2012 - 13:25) Игорь_Vasinsky написал(а):
)).. ну выстави онлайн.. у меня как раз полчасика есть...
Спустя 6 минут, 56 секунд (5.01.2012 - 13:32) Эли4ка написал(а):
Игорь_Vasinsky
у на локалхосте...из инета скорость оочень маленькая-0.3кбит/сек...можете на своем сайте попробовать?
p.s. закидывается код в файл для примера,на самом деле все складывается в БД..
у на локалхосте...из инета скорость оочень маленькая-0.3кбит/сек...можете на своем сайте попробовать?
p.s. закидывается код в файл для примера,на самом деле все складывается в БД..
Спустя 7 минут, 54 секунды (5.01.2012 - 13:40) killer8080 написал(а):
Эли4ка
а какой смысл в этом скрипте? Я так и не понял
а какой смысл в этом скрипте? Я так и не понял
Спустя 38 минут, 27 секунд (5.01.2012 - 14:18) Игорь_Vasinsky написал(а):
это мнимый псевдо спайдер.
клонит исходники страниц в БД для дальнейшего релевантного поиска и выдаче результатов.
тока ты теги вообще вырезай.
клонит исходники страниц в БД для дальнейшего релевантного поиска и выдаче результатов.
тока ты теги вообще вырезай.
Спустя 23 минуты, 59 секунд (5.01.2012 - 14:42) caballero написал(а):
| Цитата |
| caballero-а это разве запрещено?, |
Нет, но разница в том будут вас воспринимать как программиста или как скучающую барышню
| Цитата |
| но Ваши предположения оказались верными-когда я прописала протокол,то все заработало.. |
А куда бы оно делось. Просто когда не указывается протокол (http, ftp и т.д.) функция лезет за файлом на диск
| Цитата |
| Игорь_Vasinsky-но я ведь поставила защиту от html-тегов и скриптов или это не достаточно? |
Нет. По вашему коду можно в текстовый переожить любой внутренний, например файл с настройками доступа к БД и затем просмотреть его в браузере
Но поскольку в файл пишется как пример то проблема чисто теоретическая
Спустя 29 минут, 48 секунд (5.01.2012 - 15:12) inpost написал(а):
Эли4ка
В винде тоже есть разграничение прав, но они немного отличные от тех же юниксовских. В любом случае они есть
В винде тоже есть разграничение прав, но они немного отличные от тех же юниксовских. В любом случае они есть
Спустя 32 минуты, 33 секунды (5.01.2012 - 15:44) SlavaFr написал(а):
| Цитата (killer8080 @ 5.01.2012 - 10:40) |
| Эли4ка а какой смысл в этом скрипте? Я так и не понял |
да просто хочет, чтоб ей сайт взламали или запрещенную информацию вначали в file.txt записали, а потом дали другим с ее сaйта скачивать .
Спустя 32 минуты, 58 секунд (5.01.2012 - 16:17) Эли4ка написал(а):
SlavaFr
я уже писала,что в файл это для примера.
Кстати надо будет еще защиту от магических кавычек поставить на всякий случай...
inpost
а какие ,а то я и не знала..
я уже писала,что в файл это для примера.
Кстати надо будет еще защиту от магических кавычек поставить на всякий случай...
inpost
а какие ,а то я и не знала..
| Цитата |
| скучающую барышню |
-а разве я от скуки общаюсь??
Игорь_Vasinsky
нет,это только 0.1% всего кода..код выложу чуть позже,я его уже почти дописала..
И тогда какие способы защиты мне еще нужно поставить,чтобы не произошло казусов??
Игорь_Vasinsky
нет,это только 0.1% всего кода..код выложу чуть позже,я его уже почти дописала..
И тогда какие способы защиты мне еще нужно поставить,чтобы не произошло казусов??
Спустя 9 минут, 42 секунды (5.01.2012 - 16:27) killer8080 написал(а):
| Цитата (Эли4ка @ 5.01.2012 - 15:17) |
| Кстати надо будет еще защиту от магических кавычек поставить на всякий случай... |
Зачем? У тебя же свой сервер, отключи их, да и всё.
Спустя 1 час, 50 минут, 25 секунд (5.01.2012 - 18:17) Dron19 написал(а):
| Цитата (killer8080 @ 5.01.2012 - 13:27) | ||
Зачем? У тебя же свой сервер, отключи их, да и всё. |
А если она вынесет разработанный скрипт на сервер в интернет, на котором включены маг. Кавычки? =)
Спустя 21 минута, 12 секунд (5.01.2012 - 18:39) caballero написал(а):
| Цитата |
| А если она вынесет разработанный скрипт на сервер в интернет, на котором включены маг. Кавычки? =) |
у нормалльных хостеров есть достступ к подобным настройкам
в крайнем случае отключение можно указать в файле .htaccess
Спустя 15 минут, 27 секунд (5.01.2012 - 18:54) killer8080 написал(а):
| Цитата (Dron19 @ 5.01.2012 - 17:17) | ||||
А если она вынесет разработанный скрипт на сервер в интернет, на котором включены маг. Кавычки? =) |
Во первых, в валидном урл не может быть кавычек, и проверять нужно именно на валидность в соответствии RFC2396.
Во вторых, нормальные хостеры предоставляют возможность конфигурировать PHP, либо напрямую через php.ini, либо через .htaccess
Спустя 10 минут, 58 секунд (5.01.2012 - 19:05) Winston написал(а):
| Цитата (Эли4ка @ 5.01.2012 - 15:17) |
| нет,это только 0.1% всего кода |
У тебя сейчас 18 строк кода, а если это только 0,1%, то всего кода у тебя будет 18000 строк
Спустя 2 минуты, 58 секунд (5.01.2012 - 19:08) Игорь_Vasinsky написал(а):
| Цитата |
| нет,это только 0.1% |
опять же без обид, но либо ты так быстро пишешь свои скрипты, либо на этом и заканчивается.
Спустя 10 часов, 51 минута, 49 секунд (6.01.2012 - 06:00) Эли4ка написал(а):
Игорь_Vasinsky
нет,я пишу их не быстро,так есть все таки какая-нибудь уязвимость-просто мне это очень важно
..
Winston
нет,я пишу их не быстро,так есть все таки какая-нибудь уязвимость-просто мне это очень важно
..Winston
Спустя 1 час, 22 минуты, 41 секунда (6.01.2012 - 07:22) Игорь_Vasinsky написал(а):
на форуме куча тем о XSS и SQL-иньекции, я же не преподователь, да у меня нет педагогического образования, ни лицензии, вот inpost - другое дело, скажи ему что от меня, а то он делиться не будет.
Спустя 5 часов, 44 минуты, 17 секунд (6.01.2012 - 13:07) killer8080 написал(а):
| Цитата (Эли4ка @ 5.01.2012 - 12:22) |
| Игорь_Vasinsky вот весь код этой формы <html> <head> <title>---</title> </head> <body> <form action="" method="POST"> <input type="text" value="http://mail.ru/" name="q"/> <input type="submit" value="Индексировать" /> </form> </body> <?php if(!empty($_POST['q'])) { $url = trim(htmlspecialchars(stripslashes($_POST['q']))); $page = file_get_contents($url); file_put_contents('file.txt', $page); } ?> Что может быть в нем уязвимого?? |
| Цитата (Эли4ка @ 6.01.2012 - 05:00) |
| так есть все таки какая-нибудь уязвимость-просто мне это очень важно |
Не уязвимость, а огромная дыра
Дай мне доступ к этому скрипту, и я вытяну любой файл с твоего компьютера
Спустя 7 минут, 56 секунд (6.01.2012 - 13:15) Эли4ка написал(а):
killer8080
скажите пожалуйста какая..и как ее убрать..(по возможности)
Игорь_Vasinsky
хорошо..
скажите пожалуйста какая..и как ее убрать..(по возможности)
Игорь_Vasinsky
хорошо..
Спустя 23 минуты, 51 секунда (6.01.2012 - 13:39) killer8080 написал(а):
| Цитата (Эли4ка @ 6.01.2012 - 12:15) |
| killer8080 скажите пожалуйста какая..и как ее убрать..(по возможности) |
Неправильно обрабатываешь входные данные.
htmlspecialchars и stripslashes тут нафиг ненужны. Пользователь должен ввести УРЛ, значит нужно проверять его на соответствие rfc2396.
if(!empty($_POST['q']) && filter_var($_POST['q'], FILTER_VALIDATE_URL)) {
...
htmlspecialchars кстати даже будет мешать, покаверкает амперсанды в запросе
Спустя 9 минут, 28 секунд (6.01.2012 - 13:48) Эли4ка написал(а):
killer8080
спасибо..сейчас подправлю и в мануал загляну описание посмотреть..
P.S. с меня плюсик
спасибо..сейчас подправлю и в мануал загляну описание посмотреть..
P.S. с меня плюсик