IMHO.WS

IMHO.WS (https://www.imho.ws/index.php)
-   Веб-программирование (https://www.imho.ws/forumdisplay.php?f=29)
-   -   Безопасность include() (https://www.imho.ws/showthread.php?t=88988)

Псих 11.07.2005 12:37
Безопасность include()
 
Сразу оговорюсь о двух вещах:
1. Я php учу 5й день всего. Тоесть знаний уменя даже на детское ведро не наскребешь.
2. Поиск смотрел, ничего не нашел.

Внимание вопрос:
Прочитал в апрельском ][ , что плохие парни юзают include() open() моего кода, чтобы методом изврата запроса получить /etc/passwd и другие интимные места.
Тоесть, если моя правильно понял, если я вывожу текст из txt или html
Код:
<?include "news.php"?>
----------
news.php:
$NewFile="news.html"; 
echo $news;
файла, это не важно, то получить nobody, а вскоре и root просто до немагу? Или как?

PS Говорю же.. тока начал учить!

Спасибо!

RaZEr 11.07.2005 12:55
Цитата:
что плохие парни юзают include() open() моего кода, чтобы методом изврата запроса получить /etc/passwd и другие интимные места.
Когда к скрипту идут аргументы вроде index.php?sect=general/news.html, то при кривых руках веб-мастера туда удаётся пропихнуть index.php?sect=/etc/passwd

Цитата:
файла, это не важно, то получить nobody, а вскоре и root просто до немагу? Или как?
Получишь ты только те файлы, к которым есть доступ. В частности ты не получишь файлов других пользователей без доступа на чтение группе/всем, и возможно вообще не получишь ничего выше папки сприпта, если включн safe_mode

Цитата:
Говорю же.. тока начал учить!
Так надобно в Ebooks заглянуть.

Псих 11.07.2005 13:06
Книги то я читаю.. просто по не знанию возник вопрос.
Тоесть, как я понял, я могу спокойно юзать код такого типа
Цитата:
Псих:
<?include "news.php"?>
----------
news.php:
$NewFile="news.html";
echo $news;
ничего коварного он в себе не несет?

RaZEr 11.07.2005 15:31
В чистом виде - нет.


Часовой пояс GMT +4, время: 19:16.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.