Gość_Majki
23.04.2006, 23:09:10
Czy takie zapytanie jest bezpieczne i czy da się poprzez nie wywołać jakiś plik z innego serwera?
[php]function module($op) {
if(file_exists('kola/'.$op.'.aim.php')) {
include('kola/'.$op.'.aim.php');
}
Seth
23.04.2006, 23:18:37
Tak, jest bezpieczne.
Nie da sie wywolac przez nie pliku z innego serwera.
seth: ...ale da sie wywolac plik z tego serwera:
?op=../../../../../plik_z_haslami%00
%00 - to znak konca stringu, tzn. ze zamiast:
kola/../../../../../plik_z_haslami.aim.php
includuje plik (pominie koncowke):
kola/../../../../../plik_z_haslami
malo znany blad, na ktory niewiele stron jest odporny
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę
kliknij tutaj.