Главная страницаСоздание сайтовБлог Кузнецова М.В.Статьи о PHPPHP-скриптыСтатьи об ApacheФорум С++КонсультацииФорум "Про Жизнь"
Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
C++. Мастер-класс в задачах и примерах. Авторы: Кузнецов М.В., Симдянов И.В. Программирование. Ступени успешной карьеры. Авторы: Кузнецов М.В., Симдянов И.В. Социальная инженерия и социальные хакеры. Авторы: Кузнецов М.В., Симдянов И.В. MySQL на примерах. Авторы: Кузнецов М.В., Симдянов И.В. PHP Puzzles. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ 		Консультационный центр SoftTime

Форум PHP
Вход  Регистрация  Список форумов  Живой форум  Архив  RSS-канал  Правила форума  Участники "Online"  Все участники

Выбрать другой форум

 

Здравствуйте, Посетитель!

 Новая тема

 Поиск

  Список тем

вид форума:
Линейный форум Структурный форум

тема: Найдите уязвимость

следующая тема
 
 автор: riskk   (17.07.2006 в 14:33)   письмо автору
  
 

Сейчас пишу простеньки движок где GET-ом передается названия модуля, и я его вставляю на примую
require_once("mods/".$_GET['spage'].".php"); ?>

Вопрос: есть ли в этом методе какая то уязвимость, ведь в переменную spage могут написать все что угодно.

   
 
 автор: cheops   (17.07.2006 в 14:43)   письмо автору
  
   для: riskk   (17.07.2006 в 14:33)
 

В принципе приставка "mods/" не позволит злоумышленику нанести вред, но если её не будет - ваш сайт будет взломан. Обычно стараются избегать формировать include-путь прямо из GET-параметров... на всякий случай - удаляйте из параметра $_GET['spage'] все слеши и точки.

   
 
 автор: riskk   (17.07.2006 в 15:04)   письмо автору
  
   для: cheops   (17.07.2006 в 14:43)
 

Понятно

   
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования