tutnix: include($path.$_REQUEST.'extension'); gefährlich?

SELF-Forum

include($path.$_REQUEST.'extension'); gefährlich?

tutnix
Informationen zu den Bewertungsregeln

Hi, besteht die gefahr, dass jemand fremden code einschleußt, wenn ich oben genannte Funktion benutze. Also ein per POST übermitteltes file
includiere, allerdings immer einen root-pfad meines servers davor setze?

danke,
tutnix

Beitrag melden
Informationen zu den Bewertungsregeln

  1. include($path.$_REQUEST.'extension'); gefährlich?

    Robert Bienert Homepage des Autors
    Informationen zu den Bewertungsregeln

    Moin!

    Hi, besteht die gefahr, dass jemand fremden code einschleußt, wenn ich oben genannte Funktion benutze.

    Ja. $path ist vollkommen unwichtig, sobald der übergebene Wert mit einer passenden Anzahl '/..' anfängt. Und gegen das Anhängen der Erweiterung kann man sich u.U. mit %00 wehren. Du suchst vielleicht so etwas wie basename.

    Viele Grüße,
    Robert

    Beitrag melden
    Informationen zu den Bewertungsregeln