PHP Include

HackForum

PHP Include#
Zdravim,

mam dotaz ohledne php include (php injection).

rekneme ze na strance je neco jako:

include $_GET['page'];

pak je vse jasne.
Nebo neco jako:

include $_GET['page'].'.php';

to by taky jeste slo. Staci dat na konec URL '?' a .php se priradi jako parametr. Driv jsem pouzival nulovek bit %00 ale to v new php uz nefunguje.

Jeste je moznost:

include './'.$_GET['page'];

Takze bud pres temp nebo kdyz maj dovolene nahravat avatary tak pres obrazek.
A konecne


include './'.$_GET['page'].".php";

je nejaka moznost tam includovat neco pres avatar? Nebo taky jen pres temp? Napadl me dat tam ten nulovej bit, ale to by stejne asi nefungovalo, bo to funguje jen pres HTTP a ten obrazek je vlastne localni obrazek.

Dik za odpovedi

(odpovědět)
Zerog | E-mail | ICQ 248-792-93927.6.2008 18:51
re: PHP Include#
Vyjadřuj se přesně, vůbec nevím proč a v jaké souvislosti mluvíš o nějakém avataru a už vůbec nevim o co ti jde. Jo a dělat něco typu include("./".$_GET['page']... je prasečina sama o sobě.
(odpovědět)
nejmenuje | E-mail | Website | ICQ 26000797628.6.2008 10:06
re: PHP Include#
asi proto, ze upload avataru je jedna z moznosti jak na disk dostat soubor s vlastnim obsahem, coz se u lokalniho includu docela hodi. vzdycky kdyz neco nechapes tak je moznost, ze debil jsi ty a ne ten druhy, tak priste radeji kusuj :)

(odpovědět)
prc | 213.211.51.*29.6.2008 18:09
re: PHP Include#
J, to von ví že je to prasečina, von se ptá jak přes to pustit svůj skript.
(odpovědět)
Dracker28.6.2008 11:37

Zpět
 
 
 

 
BBCode