-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
lanka
Новичок
Кстати, в продолжение темы.
А если я хочу вставлять, правда не инклудом, файлы только из определенной директории, но параметром page=filename, после чего отрабатывает следующий код:
<?
if (isset($_REQUEST['page'])) {
$page = $_REQUEST['page'];
if (file_exists("article/$page.htm")) {
readFile("article/$page.htm");
}
}
?>
Имеется ли тут потенциально опасное место, нужно ли все страницы проиндексировать, или в принципе можно оставить как есть?
А если я хочу вставлять, правда не инклудом, файлы только из определенной директории, но параметром page=filename, после чего отрабатывает следующий код:
<?
if (isset($_REQUEST['page'])) {
$page = $_REQUEST['page'];
if (file_exists("article/$page.htm")) {
readFile("article/$page.htm");
}
}
?>
Имеется ли тут потенциально опасное место, нужно ли все страницы проиндексировать, или в принципе можно оставить как есть?
metton
Guest
2Crazy
Оно подключается как-то по-другому или это не работает на винде?
А как эту фичу подключить? Я думал, allow_url_fopen, но у меня стоит на On, а URL-ы всё равно не инклудятся...
Оно подключается как-то по-другому или это не работает на винде?
metton
Guest
2Кром
А как зависит include от register_globals?!
Кром
Новичок
include не зависит, зависит переменная в include. При register_globals = off, все пользовательские переменные изолируются от переменных самой программы.
Т. е. если в программе есть переменная $some_data, ее можно перекрыть таким образом: http://host.com/index.php?some_data=another_value
а при register_globals = off, это не получится
Т. е. если в программе есть переменная $some_data, ее можно перекрыть таким образом: http://host.com/index.php?some_data=another_value
а при register_globals = off, это не получится
Crazy
Developer
Эта фича зовется taint mode. Надеюсь, когда-нибудь это появится и в PHP -- чайникам эта фича очень помогла бы в деле выпрямления рук. Равно как и аналог "use strict".
Кром
Новичок
to ONK
1. файл inc.php
<?
$some_value = 1;
?>
2. файл index.php
<?
if (какое-то условие) include("inc.php");
echo "$some_value";
?>
Если условие во втором файле не выполняется, переменная не отобразится, что вроде и требовалось, но при register_globals = on, ее можно заменить любым зловредным значением. Все что я хотел сказать.
1. файл inc.php
<?
$some_value = 1;
?>
2. файл index.php
<?
if (какое-то условие) include("inc.php");
echo "$some_value";
?>
Если условие во втором файле не выполняется, переменная не отобразится, что вроде и требовалось, но при register_globals = on, ее можно заменить любым зловредным значением. Все что я хотел сказать.
ONK
Пассивист PHPСluba
Если при не выполнении вот этого твоего условия "if (какое-то условие) " тебе ещё гдето дальше в скрипте понадобилась переменная $some_value (которая _НЕ_ определена), значит ты допустил ошибку в программе. Это неправильный подход к программированию, а самое главное это не имеет ровным счётом _никакого_ отношения к тому что здесь обсуждалось.
василыч
Guest
Люди!
А зачем всякие свитчи и пр. премудрости?
Разве низя так:
http://domain.com?page=345
В скрипте пишем:
if(!empty($_GET['page']))
{
if(file_exists("./mydir/".$_GET['page']))
{
//делаем что то с $_GET['page']
}
}
А зачем всякие свитчи и пр. премудрости?
Разве низя так:
http://domain.com?page=345
В скрипте пишем:
if(!empty($_GET['page']))
{
if(file_exists("./mydir/".$_GET['page']))
{
//делаем что то с $_GET['page']
}
}
metton
Guest
2Кром
2Crazy
http://localhost/index.php?page=index0.php
получается.
а вот так
http://localhost/index.php?page=http://www.ru/
нет...
Почему это не получится?! Если у человека стоит register_globals = off, не думаю, что он будет использовать просто $some_data, пытаясь получить переменную из строки запроса. Я, конечно, знаю и умею ещё далеко не всё, но уж это-то я могу понять...
2Crazy
В том, что вот так
http://localhost/index.php?page=index0.php
получается.
а вот так
http://localhost/index.php?page=http://www.ru/
нет...
василыч2
Guest
2ONK:
Прочитал, НЕ ПОНЯЛ!
И объясни, пожалуйста, что ты сделаешь при моём методе:
http://domain.com?area=kot&id=5
if(!empty($_GET['area']) && !empty($_GET['id']))
{
if(is_dir($_GET['area']))
{
if(file_exists("./".$_GET['area']."/".$_GET['page']) && )
{//делаем что то с $_GET['page']}
}
}
Вот не пойму, чес слово!
Прочитал, НЕ ПОНЯЛ!
А если у меня [много] фалов???
И объясни, пожалуйста, что ты сделаешь при моём методе:
http://domain.com?area=kot&id=5
if(!empty($_GET['area']) && !empty($_GET['id']))
{
if(is_dir($_GET['area']))
{
if(file_exists("./".$_GET['area']."/".$_GET['page']) && )
{//делаем что то с $_GET['page']}
}
}
Вот не пойму, чес слово!
metton studying
Guest
2василыч2
Чувак, ты по ходу не догнал, о чём говорил Crazy:
Чувак, ты по ходу не догнал, о чём говорил Crazy:
А если много файлов, то есть такое понятие как массив, а если очень много, то и база данных
василыч2
Guest
Так мой выше способ безопасен?