Просмотр файла _X_admin_X_/pages/2.php

Конкурс дизайнеров на 15000 рублей
Милый пушистый сайт !!!!
Размер файла: 3.6Kb
<?php
$folder=str_replace('_X_admin_X_','',$folder);
$d=trim(@$_GET['d']);
$d=str_replace("/..","",$d);
$d=str_replace("../","",$d);
$d=str_replace("/.","",$d);
$d=str_replace("./","",$d);
$d=str_replace("..","",$d);
$d=str_replace("%00","",$d);
if ($d==''){$file_folder=$_SERVER['DOCUMENT_ROOT'].$folder.'/files';}
else {$file_folder=$_SERVER['DOCUMENT_ROOT'].$folder.'/files/'.$d;}
if (!empty($_POST))
{
	if (!isset($_POST['go']))
	{
	$pp=@$_POST['pp'];
	$pp=valid_number($pp);
	$res=mysql_query("SELECT * 
	FROM `category`
	WHERE `from`='$pp'");
	echo '<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html><head><title>Админ панель - &gt; Опубликовать файлы - &gt; Выбрать раздел</title>
'.$css.'
</head><div class="zag" align="center">Админ панель - &gt; Опубликовать файлы - &gt; Выбрать раздел</div>';
	while ($arr = mysql_fetch_assoc($res))
	{
	echo '<form method="post" action="'.htmlspecialchars($_SERVER['REQUEST_URI']).'">&#187;
<input type="hidden" name="pp" value="'.$arr['id'].'">
<input type="submit" value="'.$arr['name'].'">
</form>';
	}
	echo '<div class="kon" align="center">Сохранить здесь?
<form method="post" action="'.htmlspecialchars($_SERVER['REQUEST_URI']).'">
<input type="hidden" name="go" value="'.$pp.'">
<input type="hidden" name="op" value="'.$_GET['d'].'">
<input type="submit" value="Да">
</form><a href="?p=0&amp;password='.$_GET['password'].'">В админ панель</a></div></html>';
	exit();}
	else {
 
$f_folder=$_SERVER['DOCUMENT_ROOT'].$folder.'files'.$_POST['op'];
$scan=@scandir($f_folder);
	foreach ($scan as $key => $f)
	{
		if ($f=='.' or $f=='..' or $f=='.htaccess' or $f=='cgi-bin' or $f=='Thumbs.db'){}
		else
		{
			if (is_file($f_folder.'/'.$f))
			{
			$n_arr[]=$f_folder.'/'.$f;
			}
		}
	}
 
$write_array=serialize($n_arr);
$write_array=urlencode($write_array);
$ppp=@$_POST['go'];
$ppp=valid_number($ppp);
$c_a=count($n_arr);
$inf='Файлы опубликованы!<br/><br/>';
mysql_query("UPDATE `category` SET 
`array` = '$write_array', 
`count`='$c_a'
WHERE `id` = '$ppp' 
LIMIT 1");
		}
}
///------------------------------------------------------------------------------------------------------------------------///
$scan=@scandir($file_folder);
foreach ($scan as $key => $f)
{
	if ($f=='.' or $f=='..' or $f=='.htaccess' or $f=='cgi-bin' or $f=='Thumbs.db'){}
	else
		{
			if (is_file($file_folder.'/'.$f))
				{
				$f_list='[f]'.$f.'<br>';
				$f_arr[]=$f_list;
				}
			else
				{
				$d_list='<img src="'.$folder.'_X_admin_X_/folder.gif" alt="[d]"><a href="'.htmlspecialchars($folder.'_X_admin_X_/?p=2&password='.$_GET['password'].'&&d='.$d.'/'.$f).'">'.$f.'</a><br>';
				$d_arr[]=$d_list;
				}
		}
}
 
 
echo '<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html><head><title>Админ панель - &gt; Опубликовать файлы</title>
'.$css.'
</head><form method="post" action="'.htmlspecialchars($_SERVER['REQUEST_URI']).'">
<div class="zag" align="center">Админ панель - &gt; Опубликовать файлы</div><div class="c">'.$inf;
foreach($d_arr as $k=>$v)
{echo $v."\n";}
echo 'В этой папке файлов '.count($f_arr).'<br/>
Опубликовать все файлы из папки?<br/>
<input type="hidden" name="op" value="'.$_GET['d'].'">
<input type="submit" value="Да">
</div>
<div class="kon" align="center"><a href="?p=0&amp;password='.$_GET['password'].'">В админ панель</a></div>
</form></html>';
?>