Versio

Hacker check fotoalbum

Milo

10/12/2009 21:40:00

Hey,

Bij mijn fotoalbum is er ook iets opgemerkt over dat hij niet "hackerproof" zou zijn, en dit heb ik ook gezien :P

Nu kwam dir door dat ik de dir letterlijk uit de link haal dus:
$_GET['dir'];
en alleen keek of hij niet leeg was...

ik vroeg me af of je zo kon checken naar het ./ gebeuren

Code (php)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

<?php
// VB'tje
$dir = 'Blaat/./../CONFIGS/';

$check = explode('/' $dir);

foreach($check as $var)
{
     if($var == '.' OR $var == '..')
     {
           $controle = FALSE;
     }
     else
     {
           $controle = TRUE;
     }
}

if($controle)
{
// Derest
}
else
{
// een fout
}
?>

Is dit een beetje een goede manier om te checken?
Wel een nadeel is is dat je een map dus niet . mag noemen XD (weet niet of dat uberhaupt mag...)

Tips etc graag!

Gr,

Gewijzigd op 01/01/1970 01:00:00 door Milo

PHP hulp

24/05/2012 20:38:58

Gesponsorde koppelingen:

niek s

10/12/2009 22:00:00

je weet de path van alle foto's toch? check dan gewoon of de opgegeven path in de database staat, zo niet dan dump je een leuke error message en ga je dood, die().

Milo

11/12/2009 08:24:00

Ik weet hoe het script dood moet gaan...
Maar ik gebruik geen database in mijn fotoalbum...

Anders had ik allang me database uitgelezen etc...
En om nu de path's van alle foto's in de database te zetten, nee niet echt een goed plan...

banaan test

11/12/2009 09:51:00

Plaats hem maar online :-)

Stefan

11/12/2009 10:46:00

na explode kan je ook gewoon in_array() doen.

Robert Deiman

11/12/2009 11:10:00

je kunt ook http://php.net/manual/en/function.substr-count.php gebruiken en controleren op ./ of ../ :)

Milo

11/12/2009 12:44:00

@ Robert Deiman:
Ik denk dat dat iets makkelijker is ;)
Ik zal hem zo derect inbouwen ;)
Gr,

PHPhulp is een Nederlandstalige PHP community sinds 2002. Je vindt hier PHP tutorials, PHP scripts, PHP boeken en nog veel meer. Alles is geheel gratis!

PHPhulp account aanmaken

Laatste forum berichten

19:36 Pinterest.com achtig..

19:15 Google Maps

19:10 SELECT in INSERT

18:41 create table in php ..

18:39 [FUNCTION] Een funct..

17:54 Ad hoc lokaal site

17:48 HTML code bug

17:04 Change background im..

16:25 Web server

16:13 Uitzondering in .hta..

Recente reacties

19:16 Oracle verliest van ..

15:04 PVV strijdt voor XS4..

22:59 HTML en semantiek

15:15 'Iran verbiedt buite..

14:56 login + bruteforce p..

13:24 Europese iDEAL over ..

21:58 Class: Imap/pop3 rea..

19:34 Verjaardagskalender

16:41 Anti bruteforce bij ..

13:22 Leaderboard adverten..

Laatste PHP scripts

login + bruteforce protectie PDO

Er zijn hier aardig wat loginscripts te vinden, hier is er nog een. Wat maakt de..

IBAN Calculatie

Naar aanleiding van de opbouwende kritiek van de eerste uitvoering van deze IBAN..

Form Validation Class

Zoals de titel al zegt dit is een Form Validation Class, hiermee kun je een form..

Laatste PHP tutorials

HTML en semantiek

Je hebt het misschien wel eens op het forum voorbij horen komen: semantiek. Maar..

Anti bruteforce script

Een enkele functie via een (my)SQL-database bijhoudt hoe vaak en wanneer en waar..

Anti bruteforce bij inloggen

Een veelgestelde vraag op het forum is hoe je het beste een anti bruteforce kan ..

Actief op PHPhulp

Er zijn 38 bezoekers en er zijn 2 leden online.
Actieve leden:
Bas van de Steeg, - SanThe -