no właśnie - jak bezpiecznie includować pliki? Trzeba/należy używać DEFINE, czy może ten sposób wystarczy?
Zapraszam do dyskusji.
Pełna wersja: [php] Bezpieczne includowanie plików
Od zawsze zastanawiała mnie sprawa - na ile to możliwe - bezpiecznego includowania/wyświetlania includowanych plików. Czy takie rozwiązanie wydaje się Wam bezpiecznym:
no właśnie - jak bezpiecznie includować pliki? Trzeba/należy używać DEFINE, czy może ten sposób wystarczy?
Zapraszam do dyskusji.
no właśnie - jak bezpiecznie includować pliki? Trzeba/należy używać DEFINE, czy może ten sposób wystarczy?
Zapraszam do dyskusji.
Jest to bezpieczne, bo sprawdzasz czy dany plik istnieje, nie mniej jednak przydałoby się jeszcze oczyścić wprowadzone dane z $_GET, koniecznie.
Z kolei jeśli chodzi o tablicę z nazwami, to musiałbyś ją aktualizować cały czas albo skorzystać z glob.
Z kolei jeśli chodzi o tablicę z nazwami, to musiałbyś ją aktualizować cały czas albo skorzystać z glob.
żebyśmy mieli jasność - akurat (jak dla mnie) nie trzeba tłumaczyć co znaczy kod, ale dzięki za dokładność - może przyda się innym! ;-)
natomiast chciałbym wiedzieć czy można zastosować tu jakiś hak etc. :-)
co do tablicy nazw - to owszem, faktycznie. Można tutaj zastosować jakieś zmiany - zmienne nadawane z np. panelu administracyjnego
natomiast chciałbym wiedzieć czy można zastosować tu jakiś hak etc. :-)
co do tablicy nazw - to owszem, faktycznie. Można tutaj zastosować jakieś zmiany - zmienne nadawane z np. panelu administracyjnego
includowane pliki znajdują się na serwerze, więc ty masz nad nimi kontrolę.
Domyśle nie można includować plików z innych serwerów, z powodów bezpieczeństwa
allow_url_fopen
http://www.php.net/manual/en/filesystem.co...allow-url-fopen
Reszta bezpieczeństwa zależy od skryptu - im prostszy, tym mniejsza szansa
Domyśle nie można includować plików z innych serwerów, z powodów bezpieczeństwa
allow_url_fopen
http://www.php.net/manual/en/filesystem.co...allow-url-fopen
Reszta bezpieczeństwa zależy od skryptu - im prostszy, tym mniejsza szansa
@up myślę że nawet jak wykręcisz skrypt formatu chińskiej armii to jak dokładnie przefiltrujesz dane jesteś bezpieczny , tylko za każdym razem sprawdzaj czy to co otrzymujesz od użytkownika jest tym co chcesz (preg_match , is_num itd) osobiście ja używam głównie preg match'a bo wszystko można sobie w regex'ie 'wybrać' łatwiutko .
ano tak powinno być, natomiast z racji, że przesyłane jest to - w tym przypadku - GET'em, zastanawiam się, czy nie ma jakiegoś sposobu na zatrucie tego kodu, np przez zatrucie URL'a. Jest niby tablica w której dozwolone strony są sprawdzane, ale mimo to, chciałem zapytać Was o zdanie :-)
@up
Jest sposób "na zatrucie" wszystkiego, nawet silnika php na serwerze
Jest sposób "na zatrucie" wszystkiego, nawet silnika php na serwerze
nie chodzi mi tu o ekstrema. Byłem ciekaw czy coś przeoczyłem.
Tak na marginesie najistotniejsze są dla mnie - a i sądzę że dla kogoś kto zainteresuje się tym tematem - konstruktywne odpowiedzi - co zrobić, żeby było jak ma być + np. funkcja która może temu pomóc ;-)
Tak na marginesie najistotniejsze są dla mnie - a i sądzę że dla kogoś kto zainteresuje się tym tematem - konstruktywne odpowiedzi - co zrobić, żeby było jak ma być + np. funkcja która może temu pomóc ;-)
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.