Программирование > PHP
Нужна помощь в написание скрипта.
:
А как они узнают имя файла?
И можно ли залезть в директорию cgi-bin?
--- Цитировать ---AliMamed (17-04-2001 10:42):
--- Цитировать ---Denim (16-04-2001 20:19):
Интересно пишешь о опасности, но не понятно.
Можно подробней, почему нельзя передавать имя файла?
--- Конец цитаты ---
blank.php?имя-файла.htm - при таком раскладе можно будет проинклудить любой файл, находящийся в public_html, а если на сервере где ты хостишься вообще никто не думал о безопасности, то вообще любой файл с этого сервера.
--- Конец цитаты ---
:
Да не надо предавать файл как параметр, передай какую-то переменную а потом по ней инклудь файл. Сам так делал
http://dmytro.dax.ru/index.phtml
AliMamed:
тогда придется забивать все переменные - это не очень удобно. проще имхо делать так:
вызывается скажем
www.you.ru/index.phtml?open=document
для открытия соответственно файла /home/user/public_html/document.txt
а в index.phtml выполняется такой код:
include("/home/user/public_html/".$open.".txt");
:
--- Цитировать ---AliMamed (20-04-2001 10:41):
тогда придется забивать все переменные - это не очень удобно. проще имхо делать так:
вызывается скажем
www.you.ru/index.phtml?open=document
для открытия соответственно файла /home/user/public_html/document.txt
а в index.phtml выполняется такой код:
include("/home/user/public_html/".$open.".txt");
--- Конец цитаты ---
Так фищка в том, что юзер не знает названий файлов, т.е. не могет сам взять и откріть в браузере document.txt бкзо всех твоих шапок, хотя конечно при большом количестве страниц уследить за переменными тяжело.
AliMamed:
"так фишка как раз в том", что blank.php?/etc/passw в ентом случае то и может получится =)
Навигация
Перейти к полной версии