Главная страницаСоздание сайтовБлог Кузнецова М.В.Статьи о PHPPHP-скриптыСтатьи об ApacheФорум С++КонсультацииФорум "Про Жизнь"
Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
MySQL 5. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. PHP Puzzles. Авторы: Кузнецов М.В., Симдянов И.В. Социальная инженерия и социальные хакеры. Авторы: Кузнецов М.В., Симдянов И.В. MySQL на примерах. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5/6. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ 		Консультационный центр SoftTime

Форум PHP
Вход  Регистрация  Список форумов  Живой форум  Архив  RSS-канал  Правила форума  Участники "Online"  Все участники

Выбрать другой форум

 

Здравствуйте, Посетитель!

 Новая тема

 Поиск

  Список тем

вид форума:
Линейный форум (новые сообщения вниз) Структурный форум

тема: скрипт открывает, но не сохраняет текст, помогите разобраться

следующая тема

Сообщения:  [1-10]   [11-11] 

 
 автор: Max Vasin   (10.02.2008 в 20:46)   письмо автору
  
   для: bronenos   (10.02.2008 в 19:57)
 

:))
ну, так у меня же идет проверка существования, к примеру, contens.txt, а не contens.php.
все-равно уязвимо?

----
Regards, Max Vasin.

   
 
 автор: bronenos   (10.02.2008 в 19:57)   письмо автору
  
   для: Max Vasin   (10.02.2008 в 18:19)
 

../admin.php тоже может существовать в папке.... уровнем так выше...

   
 
 автор: Max Vasin   (10.02.2008 в 18:19)   письмо автору
  
   для: bronenos   (10.02.2008 в 18:02)
 

Т.е. ты хочешь сказать что не безопасно?
Дело в том, что я предварительно проверяю находится ли такой файл в папке, а затем если он существует, то тогда срабатывает include_once
Или все-таки отказаться от такой реализации?
Тогда как?

----
Regards, Max Vasin.

   
 
 автор: bronenos   (10.02.2008 в 18:02)   письмо автору
  
   для: Max Vasin   (10.02.2008 в 17:45)
 

&partbook=../admin.php#

   
 
 автор: Max Vasin   (10.02.2008 в 17:45)   письмо автору
  
   для: exp   (09.02.2008 в 19:24)
 

вопрос по поводу безопасности))
если у меня такие адреса
http://test.test/book.php?r=lib&p=php&pp=&namebook=23&partbook=contents
http://test.test/book.php?r=lib&p=php&pp=&namebook=23&partbook=pred
т.е. то что в partbook потом инклудом вставляется в страницу, в нужной папке находятся файлы с форматом тхт - contents.тхт, pred.тхт.
это тоже получается небезопасно?

----
Regards, Max Vasin.

   
 
 автор: newcold   (10.02.2008 в 17:26)   письмо автору
  
   для: Trianon   (10.02.2008 в 15:29)
 

как защитить??? там ещё будет скрипт в начале и в конце страницы, который проверяет совершон ли вход в админ панель или нет, если нет, то доступ закрыт... или нет???

   
 
 автор: Trianon   (10.02.2008 в 15:29)   письмо автору
  
   для: bronenos   (10.02.2008 в 13:41)
 

В яблочко! :)

   
 
 автор: bronenos   (10.02.2008 в 13:41)   письмо автору
  
   для: newcold   (10.02.2008 в 12:33)
 

Воспользоваться сможет каждый, а найти - только админ

   
 
 автор: newcold   (10.02.2008 в 12:33)   письмо автору
  
   для: exp   (09.02.2008 в 19:24)
 

Спасибо за совет... буду смотреть. Скрипт будет доступен только из админ панели, так что только админ сможет им пользоваться...

   
 
 автор: exp   (09.02.2008 в 19:24)   письмо автору
  
   для: newcold   (09.02.2008 в 17:22)
 

опасный какой-то скрипт
а если пользователь наберёт адрес http://этотСкрипт?filename=crack.php
и запишет туда что-нибудь злое ?

а так наверное ничего не записывается потому-что не стоит chmod 777
и если файл отсутствует fopen('...', 'w');его создаёт. опять-же если выставлено право на запись в папку
наверное правильнее проверять с помощью is_exist или is_writable

   

Сообщения:  [1-10]   [11-11] 

Форум разработан IT-студией SoftTime
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования