Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Diskuze na Lopuchu,
pohlazení na duchu

Lopuch.cz
Jméno:
Heslo:
Podpora LCD:
 
Klub Web [ŽP: neomezená] (kategorie Programování) moderuje Kdokoliv.
Archiv
Domovská stránka aktualizována 28.7.2019 17:46
  
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: ojjijmu
[ 4075 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
pepak pepak - Pepak.net 29.4.2007 18:50  4715
Kdokoliv: PHP se bohuzel meni tim smerem, ze zavadi ruzna nesmyslna vetveni a omezeni prave proto, aby ochranilo idioty, kteri nechavaji ve svych "programech" diry. Nepochybuju, ze driv nebo pozdeji dojde i na ty includy. Podle me je to chyba.
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 29.4.2007 18:49  4714
Johny_G [4713]: No reseni je mit kloudnej hosting, kde muzes pouzivat ty funkce, co potrebujes, a tudiz nepotrebujes ty vzdaleny includy (ja vim, je to blbej argument, ale to WZ je fakt zoufaly).
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 29.4.2007 18:44  4713
No každopádně doufám, že tuto "díru" opravovat nebudou, protože já osobně pro některé menší aplikace (např. bota v Databázi) právě vzdálený include používám (z tohoto důvodu mě samotného překvapilo, že jsem si neuvědomil, že se skutečně scripty vykonávají na straně volaného serveru). Potřebuju totiž volat funkce, které WZ neumí, ale současně chci mít na tom druhém serveru jen to nejnezbytnější, neboť není můj a můžu být rád, že ho vůbec smím používat. Těžko říct, jak bych to potom jinak řešil.
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 29.4.2007 18:39  4712
pepak [4710]: Hmm, pravda. Nicmene stejne bych cekal, ze se bude PHP k tem remote includum chovat nejak jinak, nez k lokalnim (prave vzhledem k te (ne)bezpecnosti). Na druhou stranu - kdo chce kam, lidi by u toho meli taky trochu myslet, kdyz to pisou.
pepak pepak - Pepak.net 29.4.2007 05:55  4710
Kdokoliv: Jisteze to jde. Nepouzijes ovsem include(), jehoz funkci je vlozit a provest nejaky soubor, ale treba file(), fpassthru() a podobne...
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 29.4.2007 00:13  4709
BIGHead [4708]: Uáááááh :-)
bighead BIGHead Pořádáte akci, vyzkoušejte - naše moderátory 28.4.2007 23:18  4708
kdokolivNepochopil :). Je to pro me celkem spanelska vesnice, ale chci do toho aspon trochu proniknout...

Pepak: nedelam -> netusim zatim jak na to ;)
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 28.4.2007 23:01  4707
pepak [4705]: Ano, dobra, interpretovat to nebude, tak to posle zpatky jako plaintext. To ho pak to PHP na tom druhem serveru vezme a zacne interpretovat? Ja myslel, ze proste u remote includu tohle PHP nedela (co kdybych chtel skutecne includnout ze vzdaleneho serveru obycejny plaintext, ktery cirou nahodou obsahuje veci interpretovatelne PHPkem - to prece taky nejak musi jit).
pepak pepak - Pepak.net 28.4.2007 22:10  4706
(Nemluve tedy o tom, ze nevidim duvod, proc by muj PHP skript nemohl udelat vystup zacinajici <?php ...)
pepak pepak - Pepak.net 28.4.2007 22:09  4705
Kdokoliv: Proc by mel muj server interpretovat to PHP? Na mem serveru jsem to ja, kdo rika, co se bude a nebude interpretovat...

BigHead: Ano, muzes. Delas to?
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 28.4.2007 22:05  4704
Kdokoliv [4703]: Máš vlastně pravdu. Za normálních okolností by se skript interpretoval. Ale... Záleží na tom, jak je ta či ona inkluze nastavená. Ideální je, když je v adrese i přípona a můžeš mu narvat txt s php skriptem. V opačném případě bych asi zkusil podstrčit skript ze serveru bez PHP.
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 28.4.2007 21:55  4703
BIGHead [4701]: Nepochopils, o cemu mluvis. Ja zase na oplatku to nepochopil predtim, cekal jsem, ze problem je v necem uplne jinym.
Johny_G [4700]: A jses si jistej, nechces si to radsi overit? Ten vzdalenej server nevi o tom, ze je includovan, ten je pozadat GET metodou o nejaky zdroj, ten je nahodou PHP scriptem, tedy ho provede, rozhodne neposle zpatky PHP zdrojak, to by byla bezpecnostni dira jako prase (na strane PHP jako takoveho).
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 28.4.2007 21:43  4702
BIGHead [4699]: Já používám tento způsob: 
if (file_exists($obsah)) {include $obsah;}

Ale mrzí mě, že ti to prozrazuju, fakt jsem si to vždycky chtěl vyzkoušet :-).


BIGHead [4701]: Protože na IC za tebe ten GET udělají register_globals. Když jsou na serveru zakázané, musíš si tu proměnnou vždy GETem vytáhnout z adresy.
bighead BIGHead Pořádáte akci, vyzkoušejte - naše moderátory 28.4.2007 21:39  4701
kdokolivA proč to teda bez GETu nefungovalo??
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 28.4.2007 21:38  4700
Kdokoliv [4698]: No obávám se, že by se provedl až na straně bigheada :-). Tak PHP injection funguje. To mě zarazilo spíš, než globals, které já stále ještě používám a děsím se, kdy WZ přeskočí na nové PHP :-)).
[ 4075 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt