|
|
|
| Сейчас пишу простеньки движок где GET-ом передается названия модуля, и я его вставляю на примую
require_once("mods/".$_GET['spage'].".php"); ?>
Вопрос: есть ли в этом методе какая то уязвимость, ведь в переменную spage могут написать все что угодно. | |
|
|
|
|
|
|
|
для: riskk
(17.07.2006 в 14:33)
| | В принципе приставка "mods/" не позволит злоумышленику нанести вред, но если её не будет - ваш сайт будет взломан. Обычно стараются избегать формировать include-путь прямо из GET-параметров... на всякий случай - удаляйте из параметра $_GET['spage'] все слеши и точки. | |
|
|
|
|
|
|
|
для: cheops
(17.07.2006 в 14:43)
| | Понятно | |
|
|
|