Эта тема на forum.dklab.ru


BikerSoul: небезопасное использование переменной в вызове include
Подскажите, в здесь чем некорректность
include $_SERVER['DOCUMENT_ROOT']."/file.php";
спасибо
Юрий Насретдинов:
BikerSoul:
В данном случае все нормально.
WingedFox:
BikerSoul:
Все зависит от контекста и переменной.
Например include $_GET['var']; это одна большая дырка.
BikerSoul:
yUAC:
я это увидел из zend studio; хотя, наверно, там обобщены все $_..., как дырявые
BikerSoul:
WingedFox:
это одна большая дырка, которая латается через конфиг апача, верно?
WingedFox:
BikerSoul:
Нет.
Никакой конфиг апача не помешает подключить с помощью PHP любой файл в пределах его видимости.
Например - если PHP имеет доступ в /etc/, то подставив в $_GET /etc/.passwd и запустив приведенный выше "скрипт" Вы получите все содержимое этого файла.

Эта тема на forum.dklab.ru