Проблема с intval($_GET['id'])

Проблема с intval($_GET['id']) - Visavi.net https://visavi.net/ RSS - Visavi.net https://visavi.net/assets/img/images/logo_small.png RSS - Visavi.net https://visavi.net/ [email protected] (admin) [email protected] (admin) Sun, 17 Nov 2024 19:45:47 +0300 * ' ) ? Вообщем вариантов пруд пруди. https://visavi.net/topics/3839/87384 Проблема с intval($_GET['id']) Ванек Mon, 14 Dec 2009 19:48:30 +0300 Сообщения https://visavi.net/topics/3839/87384 <pre class="prettyprint"> <?php switch ($mod) { case 'page': preg_match ("|id=([a-z0-9]+)|", $_SERVER['QUERY_STRING'], $id); IF(Empty($id[1])) { Exit(); } ELSE { include_once 'pages/'.$id[1].'.dat'; } break; } ?> </pre> https://visavi.net/topics/3839/87374 Проблема с intval($_GET['id']) Удаленный Mon, 14 Dec 2009 19:19:39 +0300 Сообщения https://visavi.net/topics/3839/87374 <pre class="prettyprint"> <? $id = file_exists( $_SERVER['DOCUMENT_ROOT'] . '/dir/' . $_GET['page'] ) . '.dat' ? $id : '1.dat'; $id = intval( $id ); //если в dir есть файлы [a-Z].dat /* case 'page': include $_SERVER['DOCUMENT_ROOT'] . '/dir/' . $id; break; */ ?> </pre> https://visavi.net/topics/3839/87363 Проблема с intval($_GET['id']) Ванек Mon, 14 Dec 2009 18:20:48 +0300 Сообщения https://visavi.net/topics/3839/87363 Надежней будет оставить код из первого поста,а название файлов сделать числовым ;) Ну и немного изменить код... <?php switch ($mod) { case 'page': if(!empty($_GET['id'])) $id = intval($_GET['id']); else $id = 0; if($id != 0) include_once 'pages/'.$id.'.dat'; break;} ?> https://visavi.net/topics/3839/87209 Проблема с intval($_GET['id']) Санёк Mon, 14 Dec 2009 08:54:51 +0300 Сообщения https://visavi.net/topics/3839/87209 Пример "разрешать" вот тут <pre class="prettyprint"> preg_match('|^[a-z]+$|',$_GET['var']) </pre> Разрешать не ВСЕ! А только то что нужно! https://visavi.net/topics/3839/87128 Проблема с intval($_GET['id']) Б.В. Mon, 14 Dec 2009 00:07:57 +0300 Сообщения https://visavi.net/topics/3839/87128 #19, если всё разрешать - то дефейс обеспечен )) https://visavi.net/topics/3839/87097 Проблема с intval($_GET['id']) coca-coca Sun, 13 Dec 2009 22:54:35 +0300 Сообщения https://visavi.net/topics/3839/87097 Гг вот залили вам шелл в виде shell.gif проку от него ни какого, а вот благодаря такой вот конструкции этот шелл становится действительно опасен если удастся его проинклудить. До кучи можно и хитаччес проинклудить если он в папке есть и любой другой левый файл, тем самым вызвать ошибку. Вобщем не позволяйте пользователя вмешиваться в сценарий это ни чего хорошего не даст. Или хотя бы проверяйте как следует. if($_GET['var']!='' AND preg_match('|^[a-z]+$|',$_GET['var']) AND file_exists('include/'.$_GET['var'].'.php')){ include $_GET['var'].'.php'; } что то типа этого.. #18 всегда лучше не запрещать, а разрешать, всегда есть шанс упустить что либо в запрете. https://visavi.net/topics/3839/87087 Проблема с intval($_GET['id']) ramzes Sun, 13 Dec 2009 22:17:15 +0300 Сообщения https://visavi.net/topics/3839/87087 <pre class="prettyprint"> function IS_RLFI($value) { if($value != "" && !is_array($value)) { $original = $value; if(strpos($value,'.') !== FALSE) { if(strpos($value,"../") !== FALSE) { return TRUE; } if(strpos($value,"://") !== FALSE) { return TRUE; } if(strpos($value,"http") !== FALSE || strpos($value,'https') !== FALSE || strpos($value,"ftp") !== FALSE || strpos($value,'www') !== FALSE) { return TRUE; } if(file_exists($value)) { return TRUE; } } else { return FALSE; } } return FALSE; } $id = !empty($_REQUEST['id']) && IS_RLFI($_REQUEST['id']) === TRUE ? $_REQUEST['id'] ? 'index'; </pre> фильтр от RLFI хорошо работает, часто пользуюсь им) PS, придется модифицировать под ваши нужды конечно ) https://visavi.net/topics/3839/87054 Проблема с intval($_GET['id']) coca-coca Sun, 13 Dec 2009 21:20:34 +0300 Сообщения https://visavi.net/topics/3839/87054 <blockquote class="blockquote">coca-coca (Сегодня / 21:01) 15. xass, ага,с этим кодом он обязательно прочитает index.dat xD</blockquote> <img src="https://visavi.net/uploads/stickers/D.gif" alt="D"> наверно не так понял что он хочет ... https://visavi.net/topics/3839/87043 Проблема с intval($_GET['id']) xass Sun, 13 Dec 2009 21:02:39 +0300 Сообщения https://visavi.net/topics/3839/87043 15. xass, ага,с этим кодом он обязательно прочитает index.dat xD https://visavi.net/topics/3839/87041 Проблема с intval($_GET['id']) coca-coca Sun, 13 Dec 2009 21:01:03 +0300 Сообщения https://visavi.net/topics/3839/87041 <pre class="prettyprint">$id = isset ( $_GET['id'] ) ? (int) $_GET['id'] : NULL;</pre> ? https://visavi.net/topics/3839/87039 Проблема с intval($_GET['id']) xass Sun, 13 Dec 2009 20:58:47 +0300 Сообщения https://visavi.net/topics/3839/87039 13. sanzstez, а и я не говорю что это плохая затея, я лиш намекаю на недостаточную фильтрацию https://visavi.net/topics/3839/87033 Проблема с intval($_GET['id']) Lugaro Sun, 13 Dec 2009 20:43:23 +0300 Сообщения https://visavi.net/topics/3839/87033 10, ну это уже его ошибка. я знаю что инклудить то что передается гетом плохая затея https://visavi.net/topics/3839/87030 Проблема с intval($_GET['id']) Саня Sun, 13 Dec 2009 20:25:29 +0300 Сообщения https://visavi.net/topics/3839/87030 Сколько помню учебников хороших и плохих в каждом жирными буквами всегда написано не используйте конструкции типа include $_GET['var']; Без #11 поста это дыра)). https://visavi.net/topics/3839/87006 Проблема с intval($_GET['id']) ramzes Sun, 13 Dec 2009 18:22:58 +0300 Сообщения https://visavi.net/topics/3839/87006 Ну например if(preg_match('#[^a-z]#', $_GET['id'])) {ПНХ} если уж на то пошло https://visavi.net/topics/3839/86997 Проблема с intval($_GET['id']) Neformat Sun, 13 Dec 2009 18:02:30 +0300 Сообщения https://visavi.net/topics/3839/86997