24.04.2009, 21:20
|
|
Познающий
Регистрация: 03.12.2007
Сообщений: 36
Провел на форуме:
84487
Репутация:
13
|
|
если я тебе отправлю такую ссылку
www.site.com/install/template/index.php?title=</title><script>alert(document.cookie)</script>
как думаешь что произойдёт?)
Если я идиот, то перейду по ней. Если нет - у тебя ничего не получиться. Идиотов защитить невозможно.. Парадоксально, но факт.
https://forum.antichat.ru/showpost.php?p=1212211&postcount=16
интересно как вы это пофиксили?)
А че тут защищать-то? Все изображения передаем с Content-type: image/jpeg . Если браузер писали не идиоты - все скрипты внутри него не выполняться. Локальный инклуд файла не поможет т.к. jpeg файлы (как и другие картинки) сервер не обрабатывает, а просто передает (если админ не идиот конечно же).
Стали проверять каждый файл на наличие в нём php функций?
Нет. Можно и без геморроя: всего лишь определять является ли файл картинкой или нет.
|
|
|