Вопрос по include

Есть такой код:

Code:

$file = 'bla_' . $_GET['getvar']. '.php';
if(!file_exists($file){ exit;}
include    $file;

Так же можно загрузить на сервер файл php имя менять не могу - только расширение. В папке где загрузка выполнение запрещено.
Так вот есть подать на вход скрипта getvar=/../../../upldir/myfilename
проверяю на локальной машине - проверку file_exists - не проходит. видиом из за несуществующего каталога /bla_
при этом есть эту строчку с проверкой удалить то include срабатывает. - проверку никак обойти не получится?

 

Не обходится.

 

Есть еще вот такой:

PHP:

$file = $_GET['getvar1']. 'n1_' .$_GET['getvar2'] . '.n2.php';
if(!file_exists($file)){exit;}
include($file);

Удаленный include не проверял - но скорее всего запрещено.
Поидее тут null byte можно пробовать? или переполенние макс. количества символов в $file.
Версия php не известна но скорее всего она < 6
Других вариантов вродебы нет да?

 

в таком случае возможно поможет это
https://forum.antichat.ru/threads/337994/

 

И это https://antichat.com/threads/471183/