Ciao, ho un increscioso problema di sicurezza con uno script php...
In pratica in un file (config.php) sono salvati nick e password per l'accesso, in tale modo:
ma basta includere dall'esterno il file e stampare $pass per scoprire la variabile in questione!Codice PHP:<?php
$nick = "pippo";
$pass = "123";
?>
Come faccio ad effettuare un controllo sulle inclusioni? E se non si può fare ciò, come posso evitare il problema?
Grazie ancora e scusate la mia niubbezza
se il file ha estensione .php nn dovresti correre pericoli, in quanto il codice al suo interno viene eseguito, ma non essendoli nessun tipo di output sul browser non compare niente.
think simple think ringo
Si, ma se viene incluso in un file che stampa la variabile $nick i problemi ci sono eccome... O no?
ma con include() posso includere anche pagine esterne al mio sito?
warrior quel qualcuno deve sapere che esiste la variabile $pass!
scegli un nome meno intuitivo...
http://php.libero.it/include/
"Se "URL fopen wrappers" nel PHP sono abilitati (come nella configurazione di default), potete specificare il file da includere usando un URL (via HTTP) invece che un percorso locale. Se il server chiamato interpreta il file incluso come codice PHP, le variabili possono essere passate al file incluso usando una stringa di richiesta URL come con l'utilizzo di HTTP GET. Non è proprio parlare della stessa cosa includere il file e averlo ereditato dallo scope di variabili del file chiamante; lo script è stato attualmente eseguito su un server remoto e il risultato è poi stato incluso nello script locale."
think simple think ringo
Scusa ma non ho ben capito da "Se il server chiamato" in poiOriginariamente inviato da marketto
http://php.libero.it/include/
"Se "URL fopen wrappers" nel PHP sono abilitati (come nella configurazione di default), potete specificare il file da includere usando un URL (via HTTP) invece che un percorso locale. Se il server chiamato interpreta il file incluso come codice PHP, le variabili possono essere passate al file incluso usando una stringa di richiesta URL come con l'utilizzo di HTTP GET. Non è proprio parlare della stessa cosa includere il file e averlo ereditato dallo scope di variabili del file chiamante; lo script è stato attualmente eseguito su un server remoto e il risultato è poi stato incluso nello script locale."
Eh ma in un CMS OpenSource non è proprio semplice...ma con include() posso includere anche pagine esterne al mio sito?
warrior quel qualcuno deve sapere che esiste la variabile $pass!
scegli un nome meno intuitivo...
la cosa importante è questa:
"lo script è stato attualmente eseguito su un server remoto e il risultato è poi stato incluso nello script locale."
quindi se nel tuo file config.php nn metti nessun echo, qnd includi il file da un'altro webserver includi i risultati, ma non avendo risultati non avrai nessun tipo di inclusione.
think simple think ringo
Ahhhhhhh, perfetto, ora ho capito :sexpulp:
Grazie mille!!
scusa ma uno come fa a sapere che proprio in quella pagina ci sono quelle variabili?
E criptare con md5()?
Permessi di invio
Rispondi quotando