Меню
Что нового?

правильная закачка... или что может сделать юзер...

nofx

nofx

_
правильная закачка... или что может сделать юзер...

при закачке картинки идет проверка по имени файла... тоест если после точки в имени не есть "jpg", тогда файл не закачается.
можно переименовать скрипт пхп в jpg и закачать.. но в исполнение его таким образом не запустишь...

или всетаки запустишь ?

+ ко всему.. ни всегда известно куда картинки сохраняются на сервере...
 

Winer

Мимо проходил
я придумал только два варинта, при котором возможен будет запуск пхп скрипта
1. Apache настроен так, что jpg,gif,... передаються на обработку пхп
2.Просмотр картинки просходит через скрипт, который инклудит в себя эту самую картинку.
как думаешь, часто такое встречается ??? :)
 
nofx

nofx

_
что же можно сделать вывод, что если apache настроен нормально и приколов с вложением картинок нет то беспокояться не о чем?
 
StUV

StUV

Rotaredom
если у админа с руками (и головой) все ОК --- тогда и у тебя все ОК
=)
 

voodoo

Новичок
если бы все было так хорошо.

предлагаю создать файл test.jpg следующего содержания:
<script>alert("hello");</script>

и открыть его в вашем IE (работает только при прямом вызове, не через <img). в общем, посетителю можно мноооого чего показать будет ;)

так что php.net/getimagesize в принудительном порядке.
 

Winer

Мимо проходил
ну например разные куки, форма, которые данные на другой сервак отправляет, вобщем обычный HTML+JavaScript :)
 

voodoo

Новичок
nofx, например тот самый алерт миллион раз. заколебешься закрывать. или наоткрывать два миллиона окошек :).
или ноутпадов наоткрывать, тоже смешно :)
 
nofx

nofx

_
voodoo
javascript = off :)
ну вообще-то да... но кроме как такого прикола, больше ничего не получиться? или получиться?

Winer
например разные куки, форма, которые данные на другой сервак отправляет, вобщем обычный HTML+JavaScript
Нажмите для раскрытия...
ну просто очень интересно!, а можно поподробней? :)
 
nofx

nofx

_
понятно...
вопрос стоит как можно серьёзно злоупотребить javascript....?
 

Winer

Мимо проходил
можно, серьёзно, а можно и не серьёзно, зависит от способностей :) когда был совсем ещё молодым, нашёл что-то про взломы чатов, типа засовываем в мессагу скрипт, который тырит куки юзеров и отправляет на мыло :)

-~{}~ 28.05.04 18:07:

а зачем тебе - проверишь картинку чем-нить типа [m]exif_imagetype[/m] и усё
 
Войдите или зарегистрируйтесь для ответа.
Сверху