Защита PHP файла

Discussion in 'PHP' started by RRR_RRR, 4 Dec 2013.

  1. RRR_RRR

    RRR_RRR Member

    Joined:
    20 Jun 2012
    Messages:
    396
    Likes Received:
    35
    Reputations:
    0
    Есть скрипт который берет данные из ГЕТ запроса и сохраняет запрос в отдельный файл
    Например index.php?id=bla-bla
    можно ли через команду гет заставить удалить самого себя и если да то как можно это запретить
     
  2. miketomlin

    miketomlin New Member

    Joined:
    2 Dec 2013
    Messages:
    15
    Likes Received:
    3
    Reputations:
    0
    Ну, если bla-bla - это имя файла, то конечно проблемы вам обеспечены и не только с index.php
     
  3. RRR_RRR

    RRR_RRR Member

    Joined:
    20 Jun 2012
    Messages:
    396
    Likes Received:
    35
    Reputations:
    0
    нет это просто данные , место бла бла будет имя и скрипт индекс.пхп сохранить этот гет запрос
     
  4. Rolex22

    Rolex22 New Member

    Joined:
    24 Nov 2013
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Честно говоря, не совсем понятно что делает скрипт. Но, если исходить из того, что эти данные сохраняются в файл, а потом просматриваются через веб-интерфейс, то можно:

    1. Передать в данные XSS.
    2. Если сохраненный файл затем подключается директивами include или require и их производными, то можно передать исполняемый код php, который при выполнении вышеуказанных директив выполнится.

    Защита от:
    1-го варианта: один из способов показ содержимого на странице через применение встроенной функции htmlspecialchars().
    2-го варианта: исключение подключения файла в виде исполняемого (через include или require и т.п.). И при получении содержимого файла производить фильтрацию контента.
     
Loading...
Similar Threads - Защита файла
  1. GAiN
    Replies:
    3
    Views:
    7,773