Сообщения

1

PHP / include, ini-файлы и безопасность - help, pls

« : 17 Марта 2003, 02:32:27 »

насчет .php, наверное (хотя в моем случае при попытке "посмотреть" этот php, можно будет увидеть пустое окно: там только пары переменная-значение )
а вот о способах очистки: неужели basename() может оказаться недостаточно??

2

PHP / include, ini-файлы и безопасность - help, pls

« : 16 Марта 2003, 23:57:03 »

Макс
Да, так, пожалуй, можно и уйти от статики (когда все подключаемые страницы стоят заранее). Но я, пожалуй, дам им возможность называть файлы, как хотят
вот что на сейчас получилось:

$work="qq/"; //рабочий каталог с включаемыми файлами
$defaultini=$work. "qq.php";
// вводим значения по умолчанию (из ini-файлов)
if (!@$ini)$ini=$defaultini; // если нет вызова , ini - по-умолчанию
else {$ini=basename($ini);} // отрезаем путь
$ini=$work. $ini; // добавляем в начало имя каталога

if (!file_exists($ini)) { // а вдруг ошиблись
 include ($defaultini);  // включаем по умолчанию
} else {
 include ($ini);  // включаем из ini-файла
} 

3

PHP / Проверка поля

« : 16 Марта 2003, 00:16:20 »

а еще все еще бывают на свете uucp-ые адреса. Там уж точно по 25 порту ничего интересного не скажут

4

PHP / include, ini-файлы и безопасность - help, pls

« : 15 Марта 2003, 23:19:36 »

Макс
спасибо
НО: я делаю скрипт не для себя. Собственно, для того и ini файлы, чтобы скрипт не корежить. т.е. люди будут добавлять эти ini сколько угодно, когда взгрустнется

я подумала: м.б. загнать все шаблоны и служебные файлы в какой-нибудь каталог, а потом к переданному значению $ini в начало добавлять его значение. Тогда параметр hackrescript превратится в mydir/hackrescript и атака потеряет смысл

кстати, в phpclub http://phpclub.net/talk/showthread.php?s=&postid=183902#post183902 мне подсказали то же, что и ты. Прошу прощения за чайникрвский вопрос: это что, стандартное решение? (мне мало приходилось писать нае PHP, больше на Perl-е)

5

PHP / include, ini-файлы и безопасность - help, pls

« : 15 Марта 2003, 18:25:13 »

вопрос:
- исполбзуя include, подключаю какой-нибудь ini- файл с переменными.
- еслии не хочу значений по умолчанию, вызываю свой script.php?ini=qq.ini (т.е. передаю имя файла)
Есть ли возможность сделать это безопасно? (пока получается, что ежели кто-нибудь загонит какой-нибудь файл с включением php и вызовет такой скрипт со ссылкой на него, то будет выполнен любой произвольный код в этот файл помещенный???