ABA
יומן פעילות לוח שנה מבזקי חדשות תקנון RSS כותרות כותרות לפי תגובה ניקוי קוקיז IP להורדת אפליקציה
eBay AliExpress GearBest Amazon Booking Kiwi SkyScanner Trip Advisor


"איך לאבטח נכון דף כזה בPHP"
גירסת הדפסה        
קבוצות דיון פיתוח, תיכנות ובניית אתרים נושא #20073 מנהל    סגן המנהל    מפקח   Winner    צל"ש   מומחה  
אשכול מספר 20073
sza  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 26.4.02
12357 הודעות, 22 פידבק		   23:29   18.06.13   
אל הפורום  
  איך לאבטח נכון דף כזה בPHP  
 

אני רוצה לקבל בGET את שם הקובץ שאני רוצה לאנקלד

 
if (isset($_GET)) {
        include($_GET.".php");
    }

כמובן שזו בעית אבטחה חמורה,
מה הדרך הנכונה לאבטח את הפעולה הזו?


--
צחי.


                                שתף        
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

  האשכול     מחבר     תאריך כתיבה     מספר  
  הייתי מתחיל בלבדוק אם הקובץ הזה קיים.. inno3D 18.06.13 23:39 1
  השאלה הנכונה היא מה הסיבה שאתה רוצה לעשות את זה? יש פתרון יותר טוב בטוח משה הלולן 19.06.13 00:34 2
  בבקשה אולי יעזור לך men123 19.06.13 00:37 3
     תודה, בקישור שהבאת מstackoverflow מישהו הציע שם לעשות רשימה לבנה sza  19.06.13 01:35 4
  אני הייתי עושה, AND1  21.06.13 13:06 5

       
inno3D
חבר מתאריך 21.4.02
4533 הודעות		   23:39   18.06.13   
אל הפורום  
  1. הייתי מתחיל בלבדוק אם הקובץ הזה קיים..  
בתגובה להודעה מספר 0
 
  


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
משה הלולן לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 11.6.13
4818 הודעות, 8 פידבק		   00:34   19.06.13   
אל הפורום  
  2. השאלה הנכונה היא מה הסיבה שאתה רוצה לעשות את זה? יש פתרון יותר טוב בטוח  
בתגובה להודעה מספר 0
 
  


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
men123
חבר מתאריך 3.10.05
6269 הודעות		   00:37   19.06.13   
אל הפורום  
  3. בבקשה אולי יעזור לך  
בתגובה להודעה מספר 0
 
   https://www.owasp.org/index.php/Path_Traversal
http://stackoverflow.com/questions/15183814/avoiding-using-include-getpage


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
sza  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 26.4.02
12357 הודעות, 22 פידבק		   01:35   19.06.13   
אל הפורום  
  4. תודה, בקישור שהבאת מstackoverflow מישהו הציע שם לעשות רשימה לבנה  
בתגובה להודעה מספר 3
 

נראה לי שאלך על האופציה הזו, אצור מערך עם שמות הקבצים המותרים בלבד.

בנוסף, היה שם עוד מישהו שהציע לבדוק שב $_GET אין תווים מיוחדים (סלשים ונקודות), אוסיף גם את זה.

תודה רבה!


--
צחי.


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
AND1 
חבר מתאריך 16.4.04
3069 הודעות		   13:06   21.06.13   
אל הפורום  
  5. אני הייתי עושה,  
בתגובה להודעה מספר 0
 
   הייתי עושה מערך, שם בתוכו שמות של קבצים שרק אלה יכולים לעלות
ובנוסף גם שם איזה שורה חובה בכל קובץ ואחרי הinclude אם השורה קיימת תמשיך אם לא פשוט תהרוג את התוכנית...


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

תגובה מהירה  למכתב מספר: 
 
___________________________________________________________________

___________________________________________________________________
למנהלים:  נעל | תייק בארכיון | מחק | העבר לפורום אחר | מחק תגובות | עגן אשכול
       



© כל הזכויות שמורות ל-רוטר.נט בע"מ rotter.net