Защита от RFI(Remote File Inclusion)
2GOOD4U :: ОТДЕЛ "ЧИСТОТА" :: Архив :: Стари теми :: HACK FORUM BG :: РЪКОВОДСТВА :: Защита на сайтове
Страница 1 от 1
Защита от RFI(Remote File Inclusion)
by hARDCORE Чет Апр 21, 2011 4:18 am
Пример: Имате код подобен на следния:
$page = $_GET['page'];
include($page.".php");
Подавате стойност http://pat.do/shell и става лошо
Начин за защита:
1. basename($_GET['page']) - връща само името на файла (shell)
2. Създавате си масив с позволените за include файлове:
$array = array("news", "users", "login", "register", "logout");
if(in_array($_GET['page'], $array)) {
//Include }
Преопоръка: Не използвайте само file_exists, при някой хостове връща TRUE дори да е подаден URL адрес
Източник: Web-Tourist.Net
$page = $_GET['page'];
include($page.".php");
Подавате стойност http://pat.do/shell и става лошо
Начин за защита:
1. basename($_GET['page']) - връща само името на файла (shell)
2. Създавате си масив с позволените за include файлове:
$array = array("news", "users", "login", "register", "logout");
if(in_array($_GET['page'], $array)) {
//Include }
Преопоръка: Не използвайте само file_exists, при някой хостове връща TRUE дори да е подаден URL адрес
Източник: Web-Tourist.Net
hARDCORE- Power user
-
Zodiac : 
Брой мнения : 297
Отсенка : 1337
Rep : 10
Регистриран на : 13.01.2010
Age : 27
Местожителство : PLOVDIV
точки
точки:
(652/1000) -
Similar topics» Xampp защита от DOS
» Средства за защита на входните данни
» Защита от XSS (накратко
» Защита от SQLi(SQL Injection)
» Защита на wordpress блог
» Средства за защита на входните данни
» Защита от XSS (накратко
» Защита от SQLi(SQL Injection)
» Защита на wordpress блог
2GOOD4U :: ОТДЕЛ "ЧИСТОТА" :: Архив :: Стари теми :: HACK FORUM BG :: РЪКОВОДСТВА :: Защита на сайтове
Страница 1 от 1
Права за този форум:
Не Можете да отговаряте на темите|
|
|