AlexB, у тебя ж вроде жена была… или мне привидилось ? =)Мля, а у меня нету … ((((((((((((((((
да девушка есть
Форум → Программирование → PHP для идиотов → Уязвимости и mysql инъекции
Уязвимости и mysql инъекции
-
15 апреля 2009 г. 5:09, спустя 16 минут 25 секунд
-
-
-
22 апреля 2009 г. 11:33, спустя 7 дней 6 часов 14 минут
header("Content-Disposition: attachment;filename={$_GET['name']}");
header("Content-type: application/octet-stream");
echo file_get_contents("mail_files/{$_GET['name']}");
если я так отдавать файлы буду, можно ли как нибудь подделать GET чтоб выйти из категории mail_files и скачать домустим index.php ? -
22 апреля 2009 г. 11:43, спустя 10 минут 36 секунд
Professor, а чего не потестил?https://smappi.org/ - платформа по созданию API на все случаи жизни -
22 апреля 2009 г. 11:49, спустя 5 минут 28 секунд
header("Content-Disposition: attachment;filename={$_GET['name']}");
header("Content-type: application/octet-stream");
echo file_get_contents("mail_files/{$_GET['name']}");
если я так отдавать файлы буду, можно ли как нибудь подделать GET чтоб выйти из категории mail_files и скачать домустим index.php ?foreach($files as $i=>$file)
{
$path = realpath($base."/".$file);
if(substr($path,-3) != ".js")
{
header ("HTTP/1.0 403 Forbidden");
exit;
}
if(substr($path,0,strlen($base."/")) != $base."/" || !file_exists($path))
{
header ("HTTP/1.0 404 Not Found");
exit;
}
$lastmodified = max($lastmodified,filemtime($path));
$files[$i] = $path;
}
посмотри на этот кусок кода. тут как раз все защиты. и переделай под свой вариант, а меня даже непроси переделать. нихуя не стану! :)Сапожник без сапог -
24 апреля 2009 г. 11:39, спустя 1 день 23 часа 49 минут
header("Content-Disposition: attachment;filename={$_GET['name']}");
header("Content-type: application/octet-stream");
echo file_get_contents("mail_files/{$_GET['name']}");
если я так отдавать файлы буду, можно ли как нибудь подделать GET чтоб выйти из категории mail_files и скачать домустим index.php ?
Всяко можно, я те говорю фильтруй все входящие и выходящие данные от юзера. -
26 апреля 2009 г. 13:40, спустя 2 дня 2 часа
Нужно юзеру позволить пользоваться визувигом.
какой посоветуете с минимальным функционалом. И как защищать ? Ведь я слышал это не безопасно -
26 апреля 2009 г. 14:07, спустя 26 минут 50 секунд
fckeditor или tinymce. самые распространенные, юзай их
Нужно юзеру позволить пользоваться визувигом.
какой посоветуете с минимальным функционалом. И как защищать ? Ведь я слышал это не безопасноСапожник без сапог -
26 апреля 2009 г. 14:12, спустя 5 минут 49 секунд
Ну я только с ними и работал =) А можно ли юзеру давать ими пользоваться? -
26 апреля 2009 г. 14:14, спустя 1 минуту 50 секунд
а почему нельзя?
Ну я только с ними и работал =) А можно ли юзеру давать ими пользоваться?Сапожник без сапог -
-
26 апреля 2009 г. 14:27, спустя 12 минут 7 секунд
Может просто ссылки оставить и автора? А то много букв =( -
26 апреля 2009 г. 14:30, спустя 2 минуты 48 секунд
думаю колво результатов уменьшить .. надо эдво, мд5 и компанию, может че подскажут тоже :)
Может просто ссылки оставить и автора? А то много букв =(Сапожник без сапог -
27 апреля 2009 г. 1:15, спустя 10 часов 45 минут 23 секунды
а почему нельзя?
Ну я только с ними и работал =) А можно ли юзеру давать ими пользоваться?
Потому что раньше для защиты от sql инъекции я экранировал посылаемый результат, а теперь экранировать нельзя. и могут что то вредное послать.
Пожалуйста, авторизуйтесь, чтобы написать комментарий!