| |
|
|
| | Вот я недавно перечитывал номера "Хакера" и в одном номере описывался взлом через картинку. Хакер в коменнтарии картинки прописал <? system($_GET['cmd;]); ?> и после этого он смог выполнять команды на сервере. В статье была сноска как можно защититься от подобного взлома: запретить выполнять скрипты в директории с картинками. Но как это сделеть? | |
| |
|
|
| |
|
|
| |
для: Bronepoz[)
(24.07.2005 в 12:26)
| | | Хм... помоему это уже не актуально, я не видел ни одного хоста последнее время где бы было разрешено выполнение функции system() или других опасных функций. | |
| |
|
|
| |
|
|
| |
для: cheops
(24.07.2005 в 12:39)
| | | Такие хосты есть. Но ведь туда можно вписать всё что угодно. Типа удаление сайта ... | |
| |
|
|
| |
|
|
| |
для: Bronepoz[)
(24.07.2005 в 12:50)
| | | Хм... в первую очередь следует всё, что передаётся от пользователей перед выводом на страницу утюжить функциями вроде htmlspecialchars()
http://www.softtime.ru/info/articlephp.php?id_article=35 | |
| |
|
|
| |
автор: Гость.. (24.07.2005 в 14:40) |
|
| |
для: cheops
(24.07.2005 в 12:56)
| | | Если ты действительно читал ту статью, то выход тебе должен быть ясен, как помнишь там Х после заливки картинки просто переименовал ее, сменив расширение... так какая нужна защита?))) может просто не дать менять у нее расширение а? | |
| |
|
|
| |
|
|
| |
для: Гость..
(24.07.2005 в 14:40)
| | | Точно, чёто до меня не доперло сразу. | |
| |
|
|
| |
|
|
| |
для: Bronepoz[)
(24.07.2005 в 12:26)
| | | >запретить выполнять скрипты в директории с картинками. Но как это сделеть?
Поместите в директорию с картинками файл .htaccess в котором пропишите строки
RemoveHandler .php .phtml
AddType text/html .php .phtm .htm .html .phtml
|
PHP-скрипты из этой директории перестанут выполняться. | |
| |
|
|
