Forum Webscript.Ru
Общие => Nавигатор => Тема начата: ThE0ReTiC от 31 Мая 2004, 11:51:27
-
http://www.securitylab.ru/45506.html
-
дешевая на*бка.
к пхп эта "бага" не имеет отношения.
только к ламерским скриптам.
я таких эксплойтов сто напишу
-
RomikChef
ну за что купил, за то и продаю :)
-
да это я не тебе, а тому французику, который это "открыл"...
западло просто называть дырой в пхп дыру в ламерских скриптах.
-
ну в общем-то да.
это все равно что называть SQL-Injection в PHP-NUKE дыркой в mysql
-
Насколько я понял из сегодняшнего ночного чтива, способ фильтрации типа вот такого:
$page=preg_replace("/http:\\/\\//",\'\',$page);
$page=preg_replace("/ftp:\\/\\//",\'\',$page);
include($page);
стал чуть ли не хрестоматийным :( раз эту "ошибку" к багам РНР причислили, да ведь помимо этого в $page в таком скрипте можно отправить ../../../etc/passwd
или я чего-то не догнал?
-
нефиг вообще конструкции типа
Yukko:
$page=preg_replace("/http:\\/\\//",\'\',$page);
$page=preg_replace("/ftp:\\/\\//",\'\',$page);
include($page);
использовать...
-
стал чуть ли не хрестоматийным
лично я эту хрестоматию никогда не читал.
в общем, этот французик, я дцумаю, всю жизнь фильтровал, как тут, и радовался оной.
а потом обнаружил в своих скриптах дфру и решил, что весь мир под угрозой.