hallo allemaal,
ik was net even aan het kloten, en ik ben ergens achter gekomen, wat veel van jullie misschien wel interessant/schokkend vinden..
veel mensen denken dat checken van een plaatje met headers en/of een functie uit de gd library..
dit is niet correct, het is nog steeds mogelijk php in een plaatje te zetten, terwijl het WEL een geldig plaatje is!
maak met the gimp een klein gifje, met als commentaar <?php phpinfo(); ?>
als je dit bestand als gif opslaat, en je vraagt het op van een server, zal je gewoon een plaatje zien..
hernoem je het nu naar php, dan zie je eerst een hoop code, en daarna de php info!
*getest op wampp5*
edit: of het enigzins nut heeft weet ik niet.. nog geen situatie kunnen bedenken..;) maar toch..
vond het wel grappig, dus wou het even delen..
dat komt omdat hij eerst geinclude moet worden ;)
de manier ga ik hier niet uit leggen, want mij script welke de zelfde functie's heeft als deze is al een keer hier verwijderd, en ik heb geen zin in een ban e.d.
EDIT:
zoiezo word het posten van het script al niet gewaardeerd (A)
niet mee eens, het leuke met plaatjes is dat je een geldig plaatje terugkrijgt, die dus door alle php functies hiervoor zal komen..
verder: er zijn mij een paar gevallen bekend dat mensen images includen, als je ingelogd bent.. en waar dit een exploit voor zou zijn..
voorbeeld: img.php, als je ingelogd bent include ie een plaatje, maar alleen als dat plaatje extensie gif of jpg heeft, en door imgresize komt..
dat komt dit plaatje, want hij is gewoon geldig..
daar doelde ik op
Dat soort scripts behoren readfile of file_get_contents of wat dan ook te gebruiken. Zodra daar include wordt gebruikt is dat de fout, niet dat hij het plaatje accepteert.
ik heb het woord fout nooit genoemd..
mensen denken, dat alleen plaatjes door resize enz komen..
dat was waar ik op doelde.. een geldig plaatje KAN ook php bevatten.. thats all..
en als je het al wist, das mooi.
wou het gewoon even delen..
moeilijk doen is ook een vak..
