Главная страницаСоздание сайтовБлог Кузнецова М.В.Статьи о PHPPHP-скриптыСтатьи об ApacheФорум С++КонсультацииФорум "Про Жизнь"
Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
MySQL 5. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. C++. Мастер-класс в задачах и примерах. Авторы: Кузнецов М.В., Симдянов И.В. PHP на примерах (2 издание). Авторы: Кузнецов М.В., Симдянов И.В. Социальная инженерия и социальные хакеры. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5/6. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ 		Консультационный центр SoftTime

Форум PHP
Вход  Регистрация  Список форумов  Живой форум  Архив  RSS-канал  Правила форума  Участники "Online"  Все участники

Выбрать другой форум

 

Здравствуйте, Посетитель!

 Новая тема

 Поиск

  Список тем

вид форума:
Линейный форум Структурный форум

тема: PHP inside JPEG

следующая тема
 
 автор: chocopie   (28.02.2006 в 16:40)   письмо автору
  
 

Правда ли, что внутри файла JPEG может быть встроен код PHP, который потенциально может представлять собой угрозу серверу?

   
 
 автор: Artemy   (28.02.2006 в 16:54)   письмо автору
  
   для: chocopie   (28.02.2006 в 16:40)
 

Ну не внутри! Может быть РНР файл сохранен под названием типа image.jpg
Поэтому нужно проверять загружаемый файл по его заголовку, а не по расширению.

   
 
 автор: Loki   (28.02.2006 в 17:52)   письмо автору
  
   для: Artemy   (28.02.2006 в 16:54)
 

и чо? еще надо чтобы сервер был на строет для исполнения jpg фалов аки php... а таких извращений я не встречал... да и если встречу, то мне, на клиентской стороне, это ничем не грозит.

   
 
 автор: Artemy   (28.02.2006 в 18:42)   письмо автору
  
   для: Loki   (28.02.2006 в 17:52)
 

Где я читал про такую дыру, когда под файлом типа jpg или каким-нибудь другим закачивают php сценарий.
Помоему даже наши любимые авторы это писали в своих работах.

   
 
 автор: Sergey89   (28.02.2006 в 18:55)   письмо автору
  
   для: Artemy   (28.02.2006 в 18:42)
 

опасно, если в код будет всталена такая строка:

<img src="script.php">

   
 
 автор: Loki   (28.02.2006 в 20:27)   письмо автору
  
   для: Sergey89   (28.02.2006 в 18:55)
 

Раз уж вы делаете такие громкие заявления - объясните чем это опасно.

PS прежде чем дать ответ, подумайте над тем, что приведенная вами конструкция используется в двух приложениях из трех. В частности, на этой странице она использована, как минимум, дважды. Теперь жадно слушаю о таящихся в этом опасностях!:)

   
 
 автор: Artemy   (01.03.2006 в 10:22)   письмо автору
  
   для: Loki   (28.02.2006 в 20:27)
 

Loki самоуверенность страшная штука, а не уверенность иногда помогает жить!

Иногда лучше лишний раз обезапаситься, чем потом исправлять последствия.

   
 
 автор: Loki   (01.03.2006 в 12:15)   письмо автору
  
   для: Artemy   (01.03.2006 в 10:22)
 

Вы случайно не в семинарии учились?:)
Я предпочитаю более компетентные источники информации.

ps рекомендую не размещать на странице сторонных счетчиков, а банерообменники - просто опасны! Так как работают как раз по описанной вами технологии. Как вы там говорите: лучше лишний раз обезапаситься! Еще можно в .htaccess прописать deny from all - довольно надежное средство!

   
 
 автор: cheops   (28.02.2006 в 22:56)   письмо автору
  
   для: chocopie   (28.02.2006 в 16:40)
 

Поговоривают, что правда, но никто такого файла пока не видел.

   
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования