Hacker check fotoalbum

Door Milo op 10-12-2009 21:40

1.841 views

Hey,

Bij mijn fotoalbum is er ook iets opgemerkt over dat hij niet "hackerproof" zou zijn, en dit heb ik ook gezien :P

Nu kwam dir door dat ik de dir letterlijk uit de link haal dus:
$_GET['dir'];
en alleen keek of hij niet leeg was...

ik vroeg me af of je zo kon checken naar het ./ gebeuren


<?php
// VB'tje
$dir = 'Blaat/./../CONFIGS/';

$check = explode('/' $dir);

foreach($check as $var)
{
     if($var == '.' OR $var == '..')
     {
           $controle = FALSE;
     }
     else
     {
           $controle = TRUE;
     }
}

if($controle)
{
// Derest
}
else
{
// een fout
}
?>

Is dit een beetje een goede manier om te checken?
Wel een nadeel is is dat je een map dus niet . mag noemen XD (weet niet of dat uberhaupt mag...)

Tips etc graag!

Gr,

niek s

10-12-2009 22:00

je weet de path van alle foto's toch? check dan gewoon of de opgegeven path in de database staat, zo niet dan dump je een leuke error message en ga je dood, die().

M Milo

11-12-2009 08:24

Ik weet hoe het script dood moet gaan...
Maar ik gebruik geen database in mijn fotoalbum...

Anders had ik allang me database uitgelezen etc...
En om nu de path's van alle foto's in de database te zetten, nee niet echt een goed plan...

b banaan test

11-12-2009 09:51

Plaats hem maar online :-)

S Stefan

11-12-2009 10:46

na explode kan je ook gewoon in_array() doen.

R Robert Deiman

11-12-2009 11:10

je kunt ook http://php.net/manual/en/function.substr-count.php gebruiken en controleren op ./ of ../ :)

M Milo

11-12-2009 12:44

@ Robert Deiman:
Ik denk dat dat iets makkelijker is ;)
Ik zal hem zo derect inbouwen ;)
Gr,

Reageren

Inloggen om te reageren