Zadejte hledaný výraz...
Sledujte nás
facebook youtube
user
user

Bezpečnost PHP include

Taps
verified
rating uzivatele
(118 hodnocení)
30. 4. 2016 10:15:48
Zdravím, mám níže uvedenou kód na includování souborů. Je podle Vás tento kód dostatečně ošetřený proti webovému útoku PHP include? Případně jaké ošetření by jste mi ještě doporučili. Děkuji
30. 4. 2016 10:15:48
https://webtrh.cz/diskuse/bezpecnost-php-include#reply1192573
Webtrh obecný účet
verified
rating uzivatele
(1 hodnocení)
30. 4. 2016 10:21:51
Ukládáš parametr $_GET aniz by ses ujistil, ze existuje. Stále je možný "informační útok" Full Path Disclosure, pokud z parametru page udělámepole ... tzn.
example.com/?page[]=neco ... vyhodí chybu. Útok na který se ptáš se jmenuje Local File Inclusion a ten v tomhle případě ti nehrozí.
30. 4. 2016 10:21:51
https://webtrh.cz/diskuse/bezpecnost-php-include#reply1192572
Taps
verified
rating uzivatele
(118 hodnocení)
30. 4. 2016 10:45:09
Děkuji,pokud v případě útoku Full Path Disclosure bych kontroloval existenci $_GET následně i detekoval zda je předmětná proměnná pole...bude to dostatečné ošetření?
V případě webových útoků se velmi rád přiučím dalším znalostem :-)
30. 4. 2016 10:45:09
https://webtrh.cz/diskuse/bezpecnost-php-include#reply1192571
McFly
verified
rating uzivatele
(4 hodnocení)
30. 4. 2016 11:17:15
PHP: Null bytes related issues - Manual…
30. 4. 2016 11:17:15
https://webtrh.cz/diskuse/bezpecnost-php-include#reply1192570
Webtrh obecný účet
verified
rating uzivatele
(1 hodnocení)
30. 4. 2016 11:48:28
Jak zde McFly pise problem s nullbytes tak teoreticky, pokud bys ve slozce stranky mel tajny_soubor.txt, tak by utocnik mohl zavolat example.com/?page=tajny_soubor.txt%00 coz diky nullbyte odmaze to .php co si pripsal a includne to dany .txt soubor (.txt je jen priklad, mohli by to byt ruzne .ini, .cfg soubory, zalohy apod.) takze ve slozce stranky mit opravdu jen to, co chces includovat :)
30. 4. 2016 11:48:28
https://webtrh.cz/diskuse/bezpecnost-php-include#reply1192569
crs
verified
rating uzivatele
(1 hodnocení)
30. 4. 2016 21:37:10
No, a stačí tedy na null bytes něco jako tohle -
?
nebo prohnat nějakým regexem?
koukám, nezbaví ani basename() ani např. sprintf("%s").
u mě na hází file_exists s řetězcem s "" tuto hlášku:
to samé např. is_readable().
30. 4. 2016 21:37:10
https://webtrh.cz/diskuse/bezpecnost-php-include#reply1192568
hm
verified
rating uzivatele
(20 hodnocení)
4. 5. 2016 10:40:01
crs: file_exists to ma od 5.3 opravene a hodi chybu... include a require stale funguje
4. 5. 2016 10:40:01
https://webtrh.cz/diskuse/bezpecnost-php-include#reply1192567
Taps
verified
rating uzivatele
(118 hodnocení)
5. 5. 2016 05:20:06
Takze kombinace file_exists a include je dostacujici nebo doporucujes jeste jine osetreni?
5. 5. 2016 05:20:06
https://webtrh.cz/diskuse/bezpecnost-php-include#reply1192566
crs
verified
rating uzivatele
(1 hodnocení)
20. 5. 2016 21:45:52
Já doporučuji white-listing. Tj. kontrola oproti seznamu povolených souborů k includnutí.
20. 5. 2016 21:45:52
https://webtrh.cz/diskuse/bezpecnost-php-include#reply1192565
Pro odpověď se přihlašte.
Přihlásit

user
Prodej Více

Prodám web FVE.info – magazín o FVE, moderní, eko téma
15 000 Kč
0 příhozů
Na prodej nový eskortní inzertní web DejsiMe.com
22 000 Kč
0 příhozů
Prodáme prémiové domény BatCore.cz, getBukkit.eu a MinecraftCMS.com
5 500 Kč
0 příhozů
cilico.info
800 Kč
0 příhozů
Eshop – pomůcky pro dospělé Vasnive.cz + Sextora.cz
19 000 Kč
0 příhozů

user
Poptávky Více

Hledam freelancera pro ppc a vseobecne reklamu
Vytvoření HTML / CSS webu z Figmy
Úpravy na eshopu Sylius Symfony
🚀HLEDÁ SE ASISTENT MAJITELE MARKETINGOVÉ AGENTURY
Outlook – mažou se doručené emaily.

user
Pracovní nabídky Více

SW TESTER / TESTERKA
Praha
Manual Tester
Práce z domu
Hledáme šikovného obchodníka pro prodej nemovitostí mimo EU
Brno, Práce z domu
150 000 Kč
Webdesigner / Grafik
Brno, České Budějovice, Hradec Králové, Jihlava, Karlovy Vary, Liberec, Olomouc, Opava, Ostrava, Pardubice, Plzeň, Práce z domu, Praha, Ústí nad Labem, Zlín
30 000 - 60 000 Kč
Webový vývojář (medior/senior) v brněnské Design & Digital agentuře Unifer
Brno

user
Nabídky Více

Tvorba zábavních a meme reels s prokázaným virálním dosahem (až 2,1M views)
Nabídka Microsoft365 a EDR antiviru SentinelOne – licence i správa
Nabízím QA Software Manual Testing
🔥🔥 Pokročilá umělá inteligence na zakázku 🔥🔥 AI Vývoj 🔥🔥 AI Aplikace 🔥🔥 Mobilní Aplikace 🔥🔥 Webové projekty🔥🔥
⚠️ ⚠️ ⚠️ ⚠️ ⚠️ ⚠️ DOKÁŽEME NAPROGRAMOVAT COKOLIV │bez pohádek – bez omáčky – bez obav