20 replies to this topic

[K-gome]

Eu sou muito leiga em php...
eu não sabia que isso esra possível até meu site ter sido invadido através deste método.

Eu gostaria de saber o que é necessário fazer para que o seguinte código fique seguro contra isso (de preferência, poste o código do jeito que ele tem que estar exatamente):

<?php $sessao = $_REQUEST["sessao"]; if(empty($sessao)) { include("news/upload/news.php"); } else { include("./$sessao.htm"); } ?>

Ele serve para dar include no index.php de páginas em formato ".htm" dentro de pastas, enquanto que exibe inicialmente a news em php.

Exemplo:
http://www.inuplace....media/episodios

Esse código nem fui eu quem arranjou... tô dizendo que sou leiga em php! xD

Obrigada!

Edição feita por: K-gome, 30/03/2006, 17:37.

[paes]

<?php
$sessao = $_REQUEST["sessao"]; 
if(empty($sessao))
	include("news/upload/news.php");
else
	include (file_exists("./$sessao.htm")) "./$sessao.htm" : "./erro404.htm";
?>

Acho que isso tá bom

Até

[K-gome]

Valeu!
Esse aqui tb serve para deixar protegido?

<?  if (is_file($_GET['sessao'].'.htm')) { include($_GET['sessao'].'.htm'); } else { include("news/upload/news.php"); }  ?>

o/~

[paes]

Sim, já que a função is_file() verifica se o arquivo é arquivo (heheh) ou diretório.

Se não for arquivo (ou seja diretório ou seja nada) ele retorna false

até

[K-gome]

Ok!! Valeu pela ajuda! =]]

[Goku Jr]

no caso o is_file só verifica se o ARQUIVO é ARQUIVO e se é arquivo COMUM

pra verificar pasta seria o is_dir

ja o file_exists verifica se o arquivo ou diretorio existe

pelo menos foi isso que eu entendi!

T+