|
|
| |
автор: campa (16.11.2005 в 18:04) |
|
| |
для: cheops
(02.02.2005 в 23:35)
| | | СПАСИТЕЛЬ!!! | |
| |
|
|
| |
|
|
| |
для: airMike
(30.06.2005 в 14:25)
| | | А какие существуют методы по защите от такого флуда? | |
| |
|
|
| |
автор: airMike (30.06.2005 в 14:25) |
|
| |
для: Chipset
(01.04.2005 в 20:33)
| | | блин, ошибся... это не про $data | |
| |
|
|
| |
автор: airMike (30.06.2005 в 14:00) |
|
| |
для: Chipset
(01.04.2005 в 20:33)
| | | а я бы сказал, что нужно. Даже очень. У меня без этого не работает, пишет что превышен лимит строки или что-то вроде этого. | |
| |
|
|
| |
автор: Chipset (01.04.2005 в 20:33) |
|
| |
для: cheops
(02.02.2005 в 23:35)
| | | Вот самое важное в POST запросе:
$headers .= "Content-type: application/x-www-form-urlencoded\r\n"; //Важно!
$headers .= "Content-Length: ".strlen($data)."\r\n"; //Важно!
fwrite($fp, $headers.$data); // Отправляем HTTP-запрос серверу: и заголовок и тело.
В теле $data по-моему не обязательно завершать переводами строки \r\n\r\n. Я бы сказал, не нужно. | |
| |
|
|
| |
|
|
| |
для: cheops
(04.02.2005 в 22:56)
| | | Неее неправильно говоришь... не получится так выполнять системные команды...
Основной способ так называемого php code injection это когда имя файла передается к include() без проверки... | |
| |
|
|
| |
|
|
| |
для: !!Yurchik!!
(04.02.2005 в 22:22)
| | | Можно и PHP вставить - только приёмы тут немного другие, обычно прибегают к точкам и вставляют в строки оператор system, который позволяет выполнить любую команду операционной системы.
<?php
echo "text ".$name." text";
// получается
echo "text ".system("стереть всё")." text";
?>
|
Но это только в том случае, если отключен безопасный режим (не видел ни одного боевого сервера, где бы он был отключен).
Но это обычно можно не делать. Продырявить сайт очень просто, если позволить пользователям загружать на сайт что не поподя - подробности по ссылке.
http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=391 | |
| |
|
|
| |
|
|
| |
для: !!Yurchik!!
(03.02.2005 в 00:01)
| | | Сколько не искал в поисковиках инфу по XSS, ничего хорошего так и не нашел... Может кто подскажет еще парочку интересных статей по этой теме?
Заранее благодарен.
P.S. И, к сожалению, ни в одной из этих трех статей почти ничего не сказано о вставке именно РНР-кода в чужую страницу (здесь, насколько я понимаю, уже надо искать серьезные дыры в коде, т.к. через гостевую книгу или форум РНР-код не вставишь...) | |
| |
|
|
|
|
