Общие > Nавигатор
[php][bug]Обход фильтрации включаемых файлов в PHP
Yukko:
Насколько я понял из сегодняшнего ночного чтива, способ фильтрации типа вот такого:
$page=preg_replace("/http:\\/\\//",\'\',$page);
$page=preg_replace("/ftp:\\/\\//",\'\',$page);
include($page);
стал чуть ли не хрестоматийным :( раз эту "ошибку" к багам РНР причислили, да ведь помимо этого в $page в таком скрипте можно отправить ../../../etc/passwd
или я чего-то не догнал?
ThE0ReTiC:
нефиг вообще конструкции типа
--- Цитировать ---Yukko:
$page=preg_replace("/http:\\/\\//",\'\',$page);
$page=preg_replace("/ftp:\\/\\//",\'\',$page);
include($page);
--- Конец цитаты ---
использовать...
Меняздесьдавнонет:
--- Цитировать ---стал чуть ли не хрестоматийным
--- Конец цитаты ---
лично я эту хрестоматию никогда не читал.
в общем, этот французик, я дцумаю, всю жизнь фильтровал, как тут, и радовался оной.
а потом обнаружил в своих скриптах дфру и решил, что весь мир под угрозой.
Навигация
Перейти к полной версии