:strip_exif()/u/11342/S_borg98.gif?f=community)
You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.
:strip_exif()/u/47168/loop.gif?f=community)
:strip_icc():strip_exif()/u/71766/borg.jpg?f=community)
Iemand heeft duidelijk jouw onveilige code (altijd de input controleren!) gebruikt om een jpg-file op je server te laten starten met een exploit erin. Hiermee heeft hij geprobeert om een bestandje op jouw machine te zetten.
Lees deze dingen maar eens door:
http://eliti.st/articles/php_insecurity.html
nieuws: 'JPEG of death'-hoax na 10 jaar werkelijkheid
Ik zou iig beginnen met het controleren van $id in je code. Want ik ga er van uit dat daar bijvoorbeeld geen slashes in voor mogen komen oid. Of niet mogen beginnen met http://...
edit:
dank je 
Lees deze dingen maar eens door:
http://eliti.st/articles/php_insecurity.html
nieuws: 'JPEG of death'-hoax na 10 jaar werkelijkheid
Ik zou iig beginnen met het controleren van $id in je code. Want ik ga er van uit dat daar bijvoorbeeld geen slashes in voor mogen komen oid. Of niet mogen beginnen met http://...
edit:
Die link zat ik nou nog te zoeken
dank je
[ Voor 25% gewijzigd door Marcj op 23-09-2004 01:07 ]
/u/107051/jeroenmadtrix60.png?f=community)
Laten we zeggen dat je elk script kan include, ook van een andere pagina. Leuk als ik een scriptje schrijf met dit erin:
PHP:
1
| shell_execute('rm -rf'); |
Bij wijze van spreken dan.
Slecht programmeren. Basic foutje overigens.
Een shell is zoiets als het CMD scherm dat je in Windows hebt, waarmee je dus programma's kunt uitvoeren op je OS. Vrij link als je niet weet wat je doet.
Op degene die het geprogrammeerd heeft. Jij dus waarschijnlijk.
Overigens:
PHP:
1
| $id="3"; |
Een getal als string declareren?? Waarom?
PHP:
1
| $id="$id"; |
Wat denk je zelf nou dat dit doet?
[ Voor 11% gewijzigd door NMe op 23-09-2004 01:05 ]
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
/u/20302/pc.png?f=community)
The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall
/u/24411/img.png?f=community)
En als $id dan de waarde '../../ietsuitjeroot.txt'; heeft?
Ook hiermee moet je dus oppassen. 
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Ik heb het wel eens opgelost door eerst met een loopje alle bestandsnamen uit een bepaald directory uit te lezen in een array, en dan dmv in_array te controleren of de opgegeven bestandsnaam/id voorkomt in die array.:
[...]
En als $id dan de waarde '../../ietsuitjeroot.txt'; heeft?
Bedankt voor de reacties, als eerst het is niet mijn code iemand anders heeft het geprogrammeerd, maar aangezien het op mijn site staat ben ik natuurlijk wel verantwoordelijk voor om het na te lopen en secure te houden.
Ik kan zelf een paar regels PHP dus denk dat ik toch maar eens moet beginnen om een beetje kennis op te halen.
Die rm -rf die zal ik eens uitvoeren in een ssh sessie (grapje, hoewel probleem op gelost).
Een getal als string declareren?? Waarom?
Ik zou dus niet weten wat er gebeurd op met de bovenstaande code weet alleen dat het werkt (nu niet meer want heb het weg gehaald).
Ik kan zelf een paar regels PHP dus denk dat ik toch maar eens moet beginnen om een beetje kennis op te halen.
Heb gevraagt aan de Administrator of dat uit gezet kan worden. Het wordt niet gebruikt maat misbruikt dus weg er mee.
Ik ga zeer zeker de links door lezen en bekijken hoe het wel moet. Die $id ga ik ook nakijken hoe het wel moet ik wil niet externs hebben alles wat op de site staat moet vanaf de server komen en nergens anders vandaan.:
Iemand heeft duidelijk jouw onveilige code (altijd de input controleren!) gebruikt om een jpg-file op je server te laten starten met een exploit erin. Hiermee heeft hij geprobeert om een bestandje op jouw machine te zetten.
Lees deze dingen maar eens door:
http://eliti.st/articles/php_insecurity.html
nieuws: 'JPEG of death'-hoax na 10 jaar werkelijkheid
Ik zou iig beginnen met het controleren van $id in je code. Want ik ga er van uit dat daar bijvoorbeeld geen slashes in voor mogen komen oid. Of niet mogen beginnen met http://...
edit:
[...]
Die link zat ik nou nog te zoeken
Ik zelf heb de code niet geschreven maar ga wel proberen om het zelf op te lossen al ben ik nog erger als een noob.:
[...]
Laten we zeggen dat je elk script kan include, ook van een andere pagina. Leuk als ik een scriptje schrijf met dit erin:
PHP:
Bij wijze van spreken dan.
[...]
Slecht programmeren. Basic foutje overigens.
[...]
Een shell is zoiets als het CMD scherm dat je in Windows hebt, waarmee je dus programma's kunt uitvoeren op je OS. Vrij link als je niet weet wat je doet.
[...]
Op degene die het geprogrammeerd heeft. Jij dus waarschijnlijk.
Overigens:
PHP:
Een getal als string declareren?? Waarom?
PHP:
Wat denk je zelf nou dat dit doet?
Die rm -rf die zal ik eens uitvoeren in een ssh sessie (grapje, hoewel probleem op gelost).
PHP:
1
| $id="3"; |
Een getal als string declareren?? Waarom?
PHP:
1
| $id="$id"; |
Ik zou dus niet weten wat er gebeurd op met de bovenstaande code weet alleen dat het werkt (nu niet meer want heb het weg gehaald).
Ga ik zeer zeker even door nemen.
Niet al de includes staan in de zelfde map maar zijn verspreid over 10tallen mappen.
You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.
:strip_exif()/u/73955/foxavatar-60.gif?f=community){kind=avatar}
Dat is nou waarom de meeste webhosters de fopen url wrappers uitzetten.
Op zoek naar een nieuwe collega, .NET webdev, voornamelijk productontwikkeling. DM voor meer info
:strip_exif()/u/13818/episodebutler_60x60.gif?f=community)
Dat is nog steeds geen reden dat dit niet voor kan komen. Er zijn meer dan genoeg mogenlijkheden om ook een stukje php-code op de server zelf te krijgen. De 404- melding in het appache log logt bijvoorbeeld ook de opgevraagde url .
.
Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'
The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall
:strip_icc():strip_exif()/u/73645/crop5a60654987871_cropped.jpeg?f=community)
Wat ik me dan afvraag, is waarom je dan niet meteen dit doet?
PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
| $enabled_modules['news'] = true $enabled_modules['forum'] = true $enabled_modules['pm'] = true $enabled_modules['members'] = true $enabled_modules['faqs'] = true $enabled_modules['servers'] = true $enabled_modules['abuse'] = true $enabled_modules['upload'] = false $enabled_modules['rcon'] = true $enabled_modules['polls'] = true ; put the temporary debugging modules below $enabled_modules['phpinfo'] = true $enabled_modules['test'] = true |
En die dan includen. Scheelt PHP weer het werk van het parsen van die ini file.
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Je antwoord wordt al gegeven door iemand anders::
[...]
Wat ik me dan afvraag, is waarom je dan niet meteen dit doet?
...
En die dan includen. Scheelt PHP weer het werk van het parsen van die ini file.
Bovendien, zou ik -als het echt een zinnige tijdswinst oplevert- die ini file kunnen parsen naar een include file toe, maar dan heb je eigenlijk een sort of self modifying code idee, en dat is dan ook weer ranzig.
Op zoek naar een nieuwe collega, .NET webdev, voornamelijk productontwikkeling. DM voor meer info
Ini parsen naar een include, die je daarna nog gaat uitvoeren, is het ranzigste wat er is...:
Je antwoord wordt al gegeven door iemand anders:
Bovendien, zou ik -als het echt een zinnige tijdswinst oplevert- die ini file kunnen parsen naar een include file toe, maar dan heb je eigenlijk een sort of self modifying code idee, en dat is dan ook weer ranzig.
Maar ik zie het nut van een aparte ini file niet in, als je precies hetzelfde al direct in PHP kan doen. Net zoals ik (sinds kort
) het nut van templates niet (meer) inzie, omdat PHP dat ook al prima zelf kan.
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
:strip_icc():strip_exif()/u/77332/crop5e54ec42433bc_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/34990/unix.jpg?f=community)
* Als je wil dat (domme) users de settings kunnen veranderen, heb ik liever dat ze aan een ini-file zitten, dan aan een php-file. Een verneukte php file = bye bye met je page. Een verneukte ini-file valt nog mee.:
[...]
Ini parsen naar een include, die je daarna nog gaat uitvoeren, is het ranzigste wat er is...
* Ini files zijn overzichtelijker te editen.
* Als je telkens bij changes je ini moet parsen/compilen naar een include toe is dat natuurlijk aan de ene kant wel handig, want tijdens het parsen/compilen vliegt het script eruit, en heb je nog steeds een werkende site, als daarna de source-ini gefixed is, kun je weer opnieuw proberen te parsen/compilen. (Basically werken dingen als sendmail ook zo.)
Ik heb zelf een aparte 'skinning' layer ertussen gebouwd. Daar zit mn template in principe in. Iedere malloot met een beetje basiskennis van php kan zo'n skin bouwen. (Flash-designers leren ook action script, dus een html-klopper kan ook wel basic php leren, is mijn idee. Mocht je het in de praktijk in een bedrijf willen doen ofzo dan.Maar ik zie het nut van een aparte ini file niet in, als je precies hetzelfde al direct in PHP kan doen. Net zoals ik (sinds kort
)
Op zoek naar een nieuwe collega, .NET webdev, voornamelijk productontwikkeling. DM voor meer info
You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.
Mja, dit komt bij normaal gebruik niet voor he, alleen als iemand aan het kutten is. Dat ie dan een bak errors krijgt voorgeschoteld moet niet uitmaken.
Overigens, als je .php files een .txt extensie geeft, dan kan iedereen je php code bekijken, ik hoop dat je je dat realiseert...
Overigens, als je .php files een .txt extensie geeft, dan kan iedereen je php code bekijken, ik hoop dat je je dat realiseert...
Op zoek naar een nieuwe collega, .NET webdev, voornamelijk productontwikkeling. DM voor meer info
Verwijderd
als je een beetje nadenkt weet je wat voor error php geeft en zie je dat je nog steeds 0 beveiliging hebt.:
Mja, dit komt bij normaal gebruik niet voor he, alleen als iemand aan het kutten is. Dat ie dan een bak errors krijgt voorgeschoteld moet niet uitmaken.
Overigens, als je .php files een .txt extensie geeft, dan kan iedereen je php code bekijken, ik hoop dat je je dat realiseert...
net zoals usr-local-dick al zei.. makkelijk en effectief..
PHP:
1
2
3
4
5
6
7
| if ( $id=='' ) { $id=3; $l="?"; } else { $id=intval($id); } |
De php files eindigen op .php alleen in de .txt files staat gewoon informatie met een beetje html instructies over tabellen ed meer niet. De informatie krijgen ze toch te zien als ze op de site bezig zijn.:
Mja, dit komt bij normaal gebruik niet voor he, alleen als iemand aan het kutten is. Dat ie dan een bak errors krijgt voorgeschoteld moet niet uitmaken.
Overigens, als je .php files een .txt extensie geeft, dan kan iedereen je php code bekijken, ik hoop dat je je dat realiseert...
Ik heb nu deze code gebruikt met ini_set('allow_url_fopen', false); als extra toevoeging.
Nu krijg ik deze fout melding:
Warning: main(0.txt): failed to open stream: No such file or directory in /home/sevenof/public_html/index.php on line 172
Warning: main(): Failed opening '0.txt' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/sevenof/public_html/index.php on line 172
Ik hoop dan dit afdoende is.
[ Voor 8% gewijzigd door we_are_borg op 23-09-2004 23:12 ]
You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.
Ok, dat verandert de zaak.
Ik ken iemand die echte php code in een .txt had staan, vandaar dat ik je ervoor waarschuwde. 0.txt bestaat niet? Is wel zo handig.
Op zoek naar een nieuwe collega, .NET webdev, voornamelijk productontwikkeling. DM voor meer info
Wel 0.txt bestaat maar er staat niets in is een mooie lege file. Het voordeel is dat je geen foutmededelingen meer ziet staan.:
[...]
Ok, dat verandert de zaak.
[...]
0.txt bestaat niet? Is wel zo handig.
You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.
Volgens mij zie ik nog steeds een 'failed to include'
Nog even een kleine toevoeging aan mijn regeltje code.
Hij check of $id met request mee komt, zoja dat maakt ie een int van wat het was.
Als er niets in staat (dus id wordt niet meegegeven), dan default ie naar 0.
In jouw geval moet daar dus het id van jouw default page staan.
Als je dat doet springt ie naar de default page zodra je garbage meegeeft als $id.
Netjes en schoon.
Hetzelfde geldt voor een ding zoals je form action; stel hij is display of update:
code:
1
| $action = ($_REQUEST['action'] == 'update') ? 'update' : 'display'; |
ZO kan ie alleen maar update of display zijn.
Zo houdt je de user input helemaal gescheiden, de variable wordt dus geheel bepaald door jouw (verkorte) IF statement.
[ Voor 13% gewijzigd door usr-local-dick op 23-09-2004 23:41 ]
usr-local-dick >
Dat is natuurlijk hetzelfde idee als de tabel van boven. Maar wel een zeer goed idee.
Dat is natuurlijk hetzelfde idee als de tabel van boven. Maar wel een zeer goed idee.
Ja ok, als je iets moet checken wat meer dan 2 waarden kan aannemen is die verkorte if/else niet bruikbaar. Maar om te sanatizen en voor dingen die alleen ja of nee kunnen zijn is hij heel fijn.:
usr-local-dick >
Dat is natuurlijk hetzelfde idee als de tabel van boven. Maar wel een zeer goed idee.
Ziet er wel maf uit in het begin maar is wel lekker compact
ik heb later die 0.txt aangemaakt als lege file, als ik aan het testen ben hal ik hem even weg zodat ik de foutmelding ziet.:
[...]
Volgens mij zie ik nog steeds een 'failed to include'
Nog even een kleine toevoeging aan mijn regeltje code.
Hij check of $id met request mee komt, zoja dat maakt ie een int van wat het was.
Als er niets in staat (dus id wordt niet meegegeven), dan default ie naar 0.
In jouw geval moet daar dus het id van jouw default page staan.
Als je dat doet springt ie naar de default page zodra je garbage meegeeft als $id.
Netjes en schoon.
Hetzelfde geldt voor een ding zoals je form action; stel hij is display of update:
code:
ZO kan ie alleen maar update of display zijn.
Zo houdt je de user input helemaal gescheiden, de variable wordt dus geheel bepaald door jouw (verkorte) IF statement.
PHP:
1
2
3
4
5
6
7
8
9
10
11
| <? ini_set('allow_url_fopen', false); if ( $id=='' ) { $id="3"; $l="?"; } else { $id=intval($id); } ?> <?php include ("$id.txt"); ?><br> |
Alleen nu weet ik dus wel waarom die $id="3"; wordt gezet dat is waar de FP nieuws instaat. Deze werkt goed, alleen andere files worden niet juist geincluded behalve als ik van de 3 een andere naam in geeft dan wordt die netjes neergezet. Maar linken naar andere txt files geeft de zelfde fout als hier boven
Warning: main(0.txt): failed to open stream: No such file or directory in /home/sevenof/public_html/index.php on line 162
Warning: main(): Failed opening '0.txt' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/sevenof/public_html/index.php on line 162
Ik kan dus alleen een txt file includen als ik de 3 veranderd in iets anders.
[ Voor 8% gewijzigd door we_are_borg op 23-09-2004 23:56 ]
You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.
You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.
True, maar de array staat in config.php die in de index.php geinclude wordt, en vanuit de index wordt iedere pagina pagina geopent. Dus als ik een nieuwe file wil invoegen, hoef ik alleen maar even " . 'filename' " toe te voegen in de array en dat kost niet zo gek lang.
Verder include ik alleen .php bestanden, dus alleen de naam van het bestand (zonder extensie) staat in die array. Dat heeft niets te maken met het extra werk, maar goed.
In ieder geval, voor de veiligheid die het met zich meebrengt wil ik best een minuutje langer werken
edit:
daarnaast heb ik nog ergens gelezen in dit topic over iemand die gewoon een script door z'n map liet lopen en ieder bestand in een array zetten, zo kan je hem natuurlijk ook nog vullen, kost het je geen werk
daarnaast heb ik nog ergens gelezen in dit topic over iemand die gewoon een script door z'n map liet lopen en ieder bestand in een array zetten, zo kan je hem natuurlijk ook nog vullen, kost het je geen werk
[ Voor 19% gewijzigd door Roa op 24-09-2004 00:35 ]
Research is what I'm doing when I don't know what I'm doing.
You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.
:strip_icc():strip_exif()/u/13212/avatar-keyboard.jpg?f=community){kind=avatar}
You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.
Verwijderd
Best veel replies, toch niet zo heel moeilijk probleem. Dan doe ik ook nog maar even mee
Ik zie het nut niet in van een array die alle id's koppelt aan een bestandsnaam als je alle bestanden die ge-include mogen worden onder een bepaalde directory zet. Gewoon een absolute path van maken, controleren of er geen ".." in voorkomt, kijken of het bestand bestaat, en includen maar.
Ik zie het nut niet in van een array die alle id's koppelt aan een bestandsnaam als je alle bestanden die ge-include mogen worden onder een bepaalde directory zet. Gewoon een absolute path van maken, controleren of er geen ".." in voorkomt, kijken of het bestand bestaat, en includen maar.
PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| define("DEFAULT_PAGE_ID","3"); if( !isset($id) ) { $id = DEFAULT_PAGE_ID; } $main = "/path/to/includes/{$id}.php"; // als file niet bestaat of er staat ".." in $id dan afkappen if( !strpos("..", $main) || !file_exists($main) ) { die("invalid page request"); } include($main); |
Het probleem is wel moeilijk aangezien de files die geinclude moten worden verdeeld staan over ongeveer 20 mappen. Ik dient dus eerst een oplossing te verzinnen met de mappen.:
Best veel replies, toch niet zo heel moeilijk probleem. Dan doe ik ook nog maar even mee
Ik zie het nut niet in van een array die alle id's koppelt aan een bestandsnaam als je alle bestanden die ge-include mogen worden onder een bepaalde directory zet. Gewoon een absolute path van maken, controleren of er geen ".." in voorkomt, kijken of het bestand bestaat, en includen maar.
PHP:
You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.
/u/20544/pelle-jjvv-bg.png?f=community)
Als je dan toch bezig bent, dan zou ik het zo doen:
PHP:
1
2
3
4
5
6
7
8
9
10
11
12
| $enabled_modules = Array('news' => true, 'forum' => true, 'pm' => true, 'members' => true, 'faqs' => true, 'servers' => true, 'abuse' => true, 'upload' => true, 'rcon' => true, 'polls' => true, 'phpinfo' => true, 'test' => true); |
Ook daar is weer omheen te werken; je vergeet dat characters ook nog in hexadecimale waarde doorgegeven kunnen worden (urlencoded dus).
Ook het erachter plakken van een extensie is dom, omdat je daar met een \0 character omheen kunt, aangezien dat character de string-terminator is en dus de rest van de string negeert
Verwijderd
Eerste punt kan ik je wel gelijk in geven, zal wel zo zijn. Extensie erachter plakken dom? Zou niet weten waarom. Die zet je erachter omdat je um niet in je url wilt. Als iemand met een \0 de extensie negeert kan ie de file niet meer vinden dus boeiend...:
Ook daar is weer omheen te werken; je vergeet dat characters ook nog in hexadecimale waarde doorgegeven kunnen worden (urlencoded dus).
Ook het erachter plakken van een extensie is dom, omdat je daar met een \0 character omheen kunt, aangezien dat character de string-terminator is en dus de rest van de string negeert
Stel je doet dit:
PHP:
1
| include("/wwwroot/blaat/" . $include . ".php"); |
Dan kan je door script.php?include=hoi%00 in te geven, de file 'hoi' includen in plaats van de file 'hoi.php'. Als je dat dan combineert met een manier om terug te browsen in je path (dus door bijv. gebrekkige checks op .. ofzo) dan kun je ALLES includen waar de webserver leesrechten op heeft.
Oftewel, een extensie ergens achter plakken omdat je dan denkt dat men /etc/passwd niet kan opvragen omdat het toch altijd /etc/passwd.php wordt (die niet bestaat), is redelijk naief
Verwijderd
Als je m'n post nog eens leest zie je dat ik je punt prima begreep en dat de extensie erachter plakken dus niet ging om watvoor veiligheid dan ook maar puur om van een naampje een filepath te maken. Als je me perse watvoor dommigheid dan ook kwalijk wilt nemen dan is het inderdaad de gebrekkige check op "..".:
[...]Oftewel, een extensie ergens achter plakken omdat je dan denkt dat men /etc/passwd niet kan opvragen omdat het toch altijd /etc/passwd.php wordt (die niet bestaat), is redelijk naief
Maar ergens een extensie achter plakken hoeft dus niet perse dom te zijn. Het heeft gewoon geen kont met veiligheid te maken. Checken van ".." en file_exists hebben dat wel en als je dat altijd doet mag je er netzoveel extensies achter plakken als je fijn vindt.
You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.
Verwijderd
Moet je even het pad goedzetten naar je includes op regel 7.
En zoals Pelle al zei (en daar was ik het dus ook meteen mee eens he!
) is de check op ".." niet helemaal safe.
Dat het niet 100% water dicht is dat is niet zo grote ramp, het is beter als geen controlle.:
[...]
Moet je even het pad goedzetten naar je includes op regel 7.
En zoals Pelle al zei (en daar was ik het dus ook meteen mee eens he!
ik heb trouwens het pad goed gezet alleen die "die" sprint er gelijk in als ik hem activeer dat stuk.
Dit is het zelfde probleem wat ik had met de else statment die werkte ook niet.
You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.
Als !strpos("..", $main) niet werkt moet je even in de handleiding van php kijken . Dan zal je zien dat strpos($main, "..") bedoeld werd.
Dat iets urlencoded is maakt voor php niet uit. Php ziet %2e%2e gewoon weer als ..
Misschien dat er nog unicode characters zijn die er wel doorheen komen (zoals bij de IIS bug). Maar welke zijn dit dan? En zijn er daar meer van?
Het afkappen van een string met %00 werkt bij mij niet. Als ik url?id=/etc/passwd%00 gebruik wordt mijn $id variabele '/etc/passwd\0'. En dat bestand kan hij niet vinden. Ik ben wel geinteresseerd in andere manieren, uiteraard moet het wel veilig gemaakt kunnen worden. Werkt wel als magic_quotes_gpc uit staat.
. Dan zal je zien dat strpos($main, "..") bedoeld werd.Dat iets urlencoded is maakt voor php niet uit. Php ziet %2e%2e gewoon weer als ..
Misschien dat er nog unicode characters zijn die er wel doorheen komen (zoals bij de IIS bug). Maar welke zijn dit dan? En zijn er daar meer van?
Het afkappen van een string met %00 werkt bij mij niet. Als ik url?id=/etc/passwd%00 gebruik wordt mijn $id variabele '/etc/passwd\0'. En dat bestand kan hij niet vinden. Ik ben wel geinteresseerd in andere manieren, uiteraard moet het wel veilig gemaakt kunnen worden. Werkt wel als magic_quotes_gpc uit staat.
[ Voor 7% gewijzigd door Sjaaky op 24-09-2004 14:54 ]
:strip_exif()/u/34938/futurama.gif?f=community)
strpos($main, "..") ook geprobeerd alleen het duurde een tijdje dat ik door had dat het strrpos($main, "..") moest zijn. Nu werkt het wel goed.:
Als !strpos("..", $main) niet werkt moet je even in de handleiding van php kijken
Dat iets urlencoded is maakt voor php niet uit. Php ziet %2e%2e gewoon weer als ..
Misschien dat er nog unicode characters zijn die er wel doorheen komen (zoals bij de IIS bug). Maar welke zijn dit dan? En zijn er daar meer van?
Het afkappen van een string met %00 werkt bij mij niet. Als ik url?id=/etc/passwd%00 gebruik wordt mijn $id variabele '/etc/passwd\0'. En dat bestand kan hij niet vinden. Ik ben wel geinteresseerd in andere manieren, uiteraard moet het wel veilig gemaakt kunnen worden. Werkt wel als magic_quotes_gpc uit staat.
Alleen is het raadzaam om de .txt files te hernoemen naar .php en in die files het volgende op te nemen
PHP:
1
2
| if (!eregi("filenaam.php", $_SERVER['PHP_SELF'])) { die ("You can't access this file directly..."); |
Is dit te doen of zeggen jullie het is niet meer nodig.
You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.
:strip_exif()/u/19799/lotr01_6060.gif?f=community)
Pagina: 1