Autor: tracy

Použité prohližeče

Použité operační systémy

Statistiky tracy

• Napsal celkem 2 příspěvků
• Z toho neschválených 0 příspěvků
• Je tu s námi od 22.2.2007 Čt 19:35
• Takže je s námi už 1917 dní, tj. 274 týdnů a tj.68 měsíců
• Naposled se ozval 23.2.2007 Pá 01:33
• Zůčastnil se celkem 1 diskuzí

První a poslední komentář užvatele tracy

Ještě horší, než nevědomost, je falešná sebejistota že to mám zabezpečené a nic se mi nemůže stát. Přidání toho ".php" je úplně zbytečné, protože stačí, aby útočník poslal v $id url s otazníkem na konci a ta dodaná přípona se bude brát jako přebytečný argument k tomu url. Podobně bych ti mohl podstrčit řídící znak pro backspace a umazat ten začátek. Naštěstí to nejde jen tak z adresního řádku.

Měl jsem na mysli to, že při ochraně pouze přidáním ".php" se dá stále includovat http;//www.example.com/haxor?.php Takže je to tam zbytečné.

tracy se zúčastnil těchto diskuzí…

• PHP injekce
Ještě horší, než nevědomost, je falešná sebejistota že to mám zabezpečené a nic se mi nemůže stát.

Přidání toho ".php" je úplně zbytečné, protože stačí, aby útočník poslal v $id url s otazníkem na konci a ta dodaná přípona se bude brát jako přebytečný argument k tomu url.

Podobně bych ti mohl podstrčit řídící znak pro backspace a umazat ten začátek. Naštěstí to nejde jen tak z adresního řádku.