localhost, Да там такой же вывод будет как и после htmlspecialchars
localhost (12.01.2012/12:51)
...
Я так понимаю что кроме как подстановка и вывод любого файла в папке тест,больше ничего нельзя набедокурить? ...
Наивный гг.
Простым запросом
http://сайт/папка/страница.php ... y.php
подключим файл из форума или из любого другого места на сайте.
Незря в двиге везде указаны массивы с перечнем допустимых подключаемых файлов.
Пример:
$mods = array(
'addfile',
'addvote',
'close',
'deltema',
'delvote',
'editpost',
'editvote',
'file',
'files',
'filter',
'loadtem',
'vote',
'who'
);
if ($act && ($key = array_search($act, $mods)) !== false && file_exists('includes/' . $mods[$key] . '.php')) {
require('includes/' . $mods[$key] . '.php');
}
k_2 (14.01.2012/18:46)
Наивный гг.
Простым запросом http://сайт/папка/страница.php ... y.php
подключим файл из форума или из любого другого места на сайте.
Незря в двиге везде указаны масси
никак ты не подключишь,так как скрипт будет искать папки и файлы только в определенной папке,в данном случае инклуде.
k_2 (14.01.2012/18:46)
Наивный гг.
Простым запросом http://сайт/папка/страница.php ... y.php
подключим файл из форума или из любого другого места на сайте.
Незря в двиге везде указаны масси
Блин,точно.
Извини за наезд,в самом деле смог вызвать но при условии что в некодированном виде.
localhost (14.01.2012/19:13)
Блин,точно.
Извини за наезд,в самом деле смог вызвать но при условии что в некодированном виде.
Ну так зная чем кодируется можно и закодированный запрос подставить гг.
Я тебе привёл пример безопасного подключения файлов.
Блин,хотя нет,нельзя,щас все прошмонал,нельзя и все
localhost (14.01.2012/19:17)
Блин,хотя нет,нельзя,щас все прошмонал,нельзя и все
Что именно нельзя?
Если ты про подключение сторонних файлов, то я немного неправильный пример дал, расширение в конце писать ненадо.
http://сайт/папка/страница.php ... s/say
k_2 (14.01.2012/19:21)
Что именно нельзя?
Если ты про подключение сторонних файлов, то я немного неправильный пример дал, расширение в конце писать недо.
http://сайт/папка/страница.php ... s/say
Прикол в том что,скрипт на выдаче дает файл который зашифрован,то есть он его расшифровывает и выдает,а вот если вместо зашифрованного он берет не зашифрованный то тогда либо его выкидывает мол нет такой страницы либо тупо дает главную
Щас пример в личку скину.
localhost (14.01.2012/15:55)
Опять же вопросы про безопасность.
Задача.
Есть данные которые передаются методом пост.
эти данные перед записью в базу фильтруются функцией check от джон 3.2.2
Из базы данные выводятся без какого
Это без опасно..функция возвращает код символа #100500; - как то так, выводя их сервер их преобразует в обычный текст..