о дырках

Александр Петросян (PAF) 25.10.2002 10:01

если вы положите
/access.html
через который будет идти обращение к secret.html, по адресу /access.html?file=/info.html
то да, будет дыряво.

поскольку добрые люди передадут вам file=/../../etc/passwd%00.html
и будет сильно плохо.

если вы начнёте сами проверять такие ситуации, вы можете ошибиться и все-таки отдать системный файл.

собственно, поэтому все настойчиво вам предлагают не пользоваться доморощенной защитой, а пользоваться проверенной встроенной.

если же всё же настаиваете на самопальной, начинается обычная борьба пушки с бронёй.

вариант: хранить все секретные файлы на диске под именами
/secret/_info.html
/webspace/access.html

и по обращению к /access.html?file=/info.html читать файл /../secret/_info.html

тогда что бы вам не передали, вы потом добавите подчерк к имени, и не считаете системный файл.

но, как вы понимаете, тут можно ошибиться, а то и придумать, как и это обойти.

даю ключевое слово: mod_mysql_auth. и отключаюсь от этого обсуждения, терпение не бесконечно.

нужна помощь профессионалов, nkostya 23.10.2002 22:03
- авторизация доступа к файлу средствами parser, Александр Петросян (PAF) [M] 24.10.2002 16:34
  - Ответ, nkostya 24.10.2002 16:55
    - Ответ, Александр Петросян (PAF) [M] 24.10.2002 17:24
      - ВОТ ЧТО Я ХОЧУ, nkostya 24.10.2002 18:26
        Читай тут http://www.parser.ru/forum/?id=8594 готовый рабочий пример! (-), Sergei 24.10.2002 19:17
        есть термин «страница»., Александр Петросян (PAF) [M] 24.10.2002 18:38
        Это я понимаю, просто, я как обычно. неправильно выразился..., nkostya 24.10.2002 18:56
        о дырках, Александр Петросян (PAF) [M] 25.10.2002 10:01
- Я хотел спросить..., nkostya 24.10.2002 14:15
  - К чему такие сложности?, Sergei 24.10.2002 18:10
    - PAF правильно написал http://www.parser.ru/forum/?id=8583 Хорошее решение!!! (-), Sergei 24.10.2002 18:19
  - mod_rewrite спасет... (-), Misha v.3 [M] 24.10.2002 15:05
    - Немогли бы Вы описать, как это реализовать в моем случае?, nkostya 24.10.2002 15:54
      - К сожалению формулировка условия такова что..., Misha v.3 [M] 24.10.2002 16:26
        Формулирую..., nkostya 24.10.2002 16:59
        Это формулировал ты до или после прочтения..., Misha v.3 [M] 24.10.2002 17:55
        Пожалуйста приведите пример... (-), nkostya 24.10.2002 18:28
        Может это по-другому сделать ..., Sumo [M] 24.10.2002 17:05
- как передавать путь ..., Sergei 24.10.2002 13:01
- как отдать файл, предварительно проверив «можно ли?» своим кодом, Александр Петросян (PAF) [M] 24.10.2002 10:26
  - но так делать не нужно, Александр Петросян (PAF) [M] 24.10.2002 10:27
    - Запросто, нужно только..., nkostya 24.10.2002 13:57
      - это не «запросто», это через левое плечо правой рукой, Александр Петросян (PAF) [M] 24.10.2002 14:03
        Может быть Вы и правы, но я хотел спросить немного другое...., nkostya 24.10.2002 14:10
    - как же нужно, тоже писал. найдёте по ключевому слову (-), Александр Петросян (PAF) [M] 24.10.2002 10:28
      - По какому слову то искать? (-), nkostya 24.10.2002 14:01
- Доступ к файлам можно реализовать по-другому, к примеру .htacces (-), Spearance 24.10.2002 09:04

Новости	FAQ	Авторы	Документация	В действии	Библиотека
Инструменты	Полезные ссылки	Хостинги	Скачать	Примеры	Форум