Форум успешных вебмастеров - GoFuckBiz.com

  Форум успешных вебмастеров - GoFuckBiz.com > Бизнес-решения > Скрипты, программы и технические решения
Дата
USD/RUB59.0900
BTC/USD0.0000
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии.

Закрытая тема
Опции темы Опции просмотра
Старый 08.02.2011, 06:15   #1
TerVer
Senior Member
 
Аватар для TerVer
 
Регистрация: 14.09.2007
Сообщений: 743
Бабло: $73711
По умолчанию $_SERVER['DOCUMENT_ROOT']."/".$_SERVER['REQUEST_URI'];

пишу простенький движок для собственных нужд.
Вопрос: такой код не будет ли дыркой?

PHP код:
$fn=$_SERVER['DOCUMENT_ROOT']."/".$_SERVER['REQUEST_URI'];
if (
file_exist($fn))
{
  
// output
}
else
{
   
// create

TerVer вне форума  
Старый 08.02.2011, 06:25   #2
0xDEAD
Senior Member
 
Аватар для 0xDEAD
 
Регистрация: 03.11.2009
Сообщений: 152
Бабло: $20330
По умолчанию

Цитата:
file_exist($fn)
Нету такой функции в PHP. Есть file_exists()

Если за // output кроется код, просто выводящий файл без всяких проверок,
то дыра очевидна - можно вытащить любой файл, лежащий в DOCUMENT_ROOT, и не только

Последний раз редактировалось 0xDEAD; 08.02.2011 в 06:30.
0xDEAD вне форума  
Старый 08.02.2011, 06:28   #3
isoff
Senior Member
 
Регистрация: 16.09.2008
Сообщений: 617
Бабло: $138646
По умолчанию

$fn=str_replace("..","",$fn);
isoff на форуме  
Старый 08.02.2011, 07:02   #4
TerVer
Senior Member
 
Аватар для TerVer
 
Регистрация: 14.09.2007
Сообщений: 743
Бабло: $73711
ТС -->
автор темы ТС По умолчанию

а если все это по .htaccess работает
RewriteEngine on
RewriteRule engine\.php$ - [L]
RewriteRule (.*)\.html engine.php [L,QSA]

вообще, не хотелось бы делать тяжелые алго валидации, те же регуляры, хз
TerVer вне форума  
Старый 08.02.2011, 17:34   #5
rushter
Senior Member
 
Регистрация: 28.11.2009
Сообщений: 1,804
Бабло: $299365
По умолчанию

Цитата:
Сообщение от isoff Посмотреть сообщение
$fn=str_replace("..","",$fn);
Не спасёт.
http://onsec.ru/onsec.whitepaper-02.eng.pdf
rushter вне форума  
Старый 08.02.2011, 18:02   #6
t0os
сам иди в жопу!
 
Аватар для t0os
 
Регистрация: 02.05.2009
Сообщений: 673
Бабло: $81580
По умолчанию

Цитата:
Сообщение от rushter Посмотреть сообщение
винды касается.
__________________
t0os вне форума  
Старый 08.02.2011, 18:09   #7
rushter
Senior Member
 
Регистрация: 28.11.2009
Сообщений: 1,804
Бабло: $299365
По умолчанию

Цитата:
Сообщение от t0os Посмотреть сообщение
винды касается.
Платформа то не указана, + ко всему никсы не спасут тоже.
rushter вне форума