Cześć


Sprawdź dotyczy zabezpieczeń w skrypcie.

Jest pliczek :
foto.php?zd=sciezka


I do tego pliku są przekazywane zdjęcia jakie ma otworzyć w 2 formatach:

1. http://www.domena.pl/graf/zdjecie.jpg
2. ../graf/zdjecie.jpg

I potem jest on otwierany w:
<img src=’$zd’ order=0>



Teraz jak zabezpieczyć ten skrypt bo niemożna dać addslashes ponieważ wtedy zdjęcie nie zostanie otwarte np. http:\/\/www.domena.pl\/graf\/zdjecie.jpg
lub ..\/graf\/zdjecie.jpg

A chciałbym uniknąć włamań przez <img src=’$zd’ order=0>



Pozdrawiam

po pierwsze trzymaj zrodla (sciezki) do zdjec w jakiejs bazie danych... i odwoluj sie wtedy po numerze_id...

edit:

na przyklad... w DB stworz tabele a tam:

id_zdjecia | url_zdjecia | (dodatkowe pola w zaleznosci od struktury twojej aplikacji)

Ja robie to w taki sposób, że np. zdjęcie koduje md5() i naprzykład sprawdzam strlen() czy parametr przekazany ma dokładnie 32 znaki (tak jak wynik md5()) dodatkowo sprawdzam

[PHP] pobierz, plaintext 
<?php
$_GET['zd']= preg_replace("/[^a-z0-9]/", "", $_GET['zd']);
?>
[PHP] pobierz, plaintext 

czyli dopuszczam tylko znaki alfanumeryczne.

I chyba tyle ja dodatkowo zabezpieczam jeszcze jedną rzecz.. popatrz np. tutaj widzisz 2 fotki, tu masz link do jednej z nich (po podglądnieciu kodu zobaczysz go).. i fotki nie podglądniesz.. nie wiem czy o takie zabezpieczenie Ci chodziło, jak cos to pisz.