ďťż

Zabezpieczenie przed include() zdalne Jak to zrobić?

Podstrony

telcocafe

Jak zabezpieczyć CMSa przed zdalnym wywołaniem funkcji INCLUDE("plik_z_cmsa")?

Więcej...
CMS jest na serwerze A, natomiast pewien dokument - na B. O ile na serwerze A (i B) włączone są zdalne pliki, w pewnym dokumencie może być użyta funkcja include() dla jakiegoś pliku CMSa z serwera A.

Jak przed czymś takim zabezpieczyć CMSa (by to było niemożliwe)?
Użytkownik Ferrari edytował ten post 24 maj 2005, 15:32

a jest wogole mozliwe zaincludowac funkcja 'include()' pliku z innego serwera ???

a jest wogole mozliwe zaincludowac funkcja 'include()' pliku z innego serwera ???

Za czasów PHP 3 dało się... a teraz już nie. Jak piszesz CMSa to zwróć uwagę na ataki:
- XSS - formularze i ew linki (w linkach nie powinieneś przesyłać łańcuchów): strip_tags na formularze (poza panelem admin, a na forum itd. dozwolony jedynie BBcode)
- SQL injection: link głównie (odpowiednie wstawianie zmiennej do zapytania, is_numeric, strp_tags, base64_encode można też...)

Czy wystarczy tylko funkcja mysql_real_escape_string() [wysyłane formularze metodą POST], by zabezpieczyć się przed SQL Injection?

polecam opcje a`la Coyote czyli w każdym pliku definiujesz stałą i e tam :) zassaj kojota* i obadaj :)

* kojot dostępny jest na strone http://www.4programmers.net

Czy wystarczy tylko funkcja mysql_real_escape_string() [wysyłane formularze metodą POST], by zabezpieczyć się przed SQL Injection?

ad sql indżektion ;) http://forum.php.pl/...showtopic=23258

Is_int() może być bezpieczniejsze, ale nie działa coś poprawnie.

Wywołuję w adresie: d=1

W kodzie bezpieczeństwa z is_numeric() zamieniłem na is_int()... Wykazuje, że $_GET['d'] nie jest integer. Dlaczego?

użyj is_numeric więc :)

Sitedesign by AltusUmbrae.

Darmowy hosting zapewnia PRV.PL