Преобразование пути в массив

[Активист]

[ой как много страниц не прочитал]

-~{}~ 22.02.09 04:52:

А где код Димы не безопасен?)) Покажите?

 

[x-yuri]

http://phpclub.ru/talk/showthread.php?postid=840166#post840166

 

[Активист]

Хм. если задача обрабатывать пути файловой системы - то дыры я там не вижу.

 

[phprus]

Активист
Достаточно получить возможность создать произвольный файл или каталог и тогда:

$path = "abc/def/ghi']='';system('ls');#";
$value = '111';
$x="\$array['".str_replace("/","']['",$path)."']=\"$value\"";
eval($x);

А файл или каталог вполне может иметь к примеру имя:

ghi']='';system('ls');#

А если через урл данные приходят, то даже прав на создание каталога/файла не надо.