jorgis Skrevet 14. juli 2004 Del Skrevet 14. juli 2004 Sikker bruk av include-script Bruken av dynamiske include-script har tatt seg opp voldsomt i det siste, siden flere og flere får snusen på hva noen korte PHP-snutter kan gjøre for å forenkle driften av deres hjemmeside. Det mange ikke tar med i beregningen er hvor lett et slikt script kan lures til å hente ondsinnete filer, eller i verste fall ta over hele systemet. Det skal vi prøve å ta et lite oppgjør med her. Les artikkelen her Lenke til kommentar
Martin Lie Skrevet 30. juli 2004 Del Skrevet 30. juli 2004 (endret) Til eksempel 1: Hva med å bruke basename()? Med min Perl-bakgrunn er ikke regexp noe problem, men for de med regexp-fobi er dette kanskje litt mer forståelig? $include_dir = '/path/to/safe/include/dir'; $filename = $_GET['whatever']; include ("$include_dir/" . basename($filename)); Dette burde vel sørge for at kun filer i $include_dir-katalogen kan inkluderes? Endret 30. juli 2004 av Pureblade Lenke til kommentar
jorgis Skrevet 23. august 2004 Forfatter Del Skrevet 23. august 2004 Det var ørtenfjørten måter å få til akkurat det, men en liten eregi er nok hakket lettere, samt at det gir hakket mindre kode. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå