выполнение произ пхп кода
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
выполнение произ пхп кода - 2008-07-18 01:01:10.280000
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
я вот думал можно ли так сделать: есть напр полее ввода <input type=textarea name=search> и то что ты туда вводиш присваевается переменной $search далее
<?php
$search=xakep;
echo('по запросу $search ничего не найдено');
?>
но если $search=');phpinfo();// то получиться echo('по запросу ');phpinfo();// ничего не найдено'); и на выдаст пхпинфо(те выполнение произ пхп кода) так вот как вы думаете можно ли это заюзать???
|
|
|
RE: выполнение произ пхп кода - 2008-07-18 01:08:49.106666
|
|
|
}{roft
Сообщений: 159
Оценки: 0
Присоединился: 2007-11-08 17:18:30.900000
|
Если тебе нужен конкретный ответ, вот: можно, разрешаю. Если у тебя вопрос какой тада задавай. ЗЫ: Если ты думаешь что есть такой тупой cross-scripting то скажу тебе: наврядли.
|
|
|
RE: выполнение произ пхп кода - 2008-07-18 08:08:08.250000
|
|
|
_hel_
Сообщений: 103
Оценки: 0
Присоединился: 2008-07-09 16:00:40.600000
|
Нет, такого сделать нельзя.
|
|
|
RE: выполнение произ пхп кода - 2008-07-18 11:14:49.673333
|
|
|
Sunzer
Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
|
Выполнить произвольный php код ? Можно впринципе одним скриптом записать нужный код в файл *.php потом выполнить.. Если я правильно понял твой вопрос…
|
|
|
RE: выполнение произ пхп кода - 2008-07-18 11:39:08.953333
|
|
|
oRb
Сообщений: 4044
Оценки: 597
Присоединился: 2007-03-28 18:45:06.630000
|
Выполнение PHP-inj аля XSS не бывает. возможно через include или eval других вариантов нету (или просто не вспомнил)
|
|
|
RE: выполнение произ пхп кода - 2008-07-18 21:39:24.110000
|
|
|
_hel_
Сообщений: 103
Оценки: 0
Присоединился: 2008-07-09 16:00:40.600000
|
Еще через preg_replace() можно. Такая уязвимость была в PHPBB в модуле подсветки. quote:
Модификатор /e меняет поведение функции preg_replace() таким образом, что параметр replacement после выполнения необходимых подстановок интерпретируется как PHP-код и только после этого используется для замены. Используя данный модификатор, будьте внимательны: параметр replacement должен содержать корректный PHP-код, в противном случае в строке, содержащей вызов функции preg_replace(), возникнет ошибка синтаксиса.
|
|
|
RE: выполнение произ пхп кода - 2008-07-25 22:01:45.056666
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
oRb а почему мой вариант не получиться???
|
|
|
RE: выполнение произ пхп кода - 2008-07-26 00:31:26.660000
|
|
|
magistr_bender
Сообщений: 977
Оценки: 0
Присоединился: 2008-02-22 20:10:21.133333
|
да потому что эчо выводит телько текст.. после выполнения эчо последующие строки интерпритатором не обрабатываются… точнее переменные заменяет на их значение но не больше.. это приблизительно как строить фундамент после того как уже построил дом. тоесть доложить сверху можно а вот снизу нет
|
|
|
RE: выполнение произ пхп кода - 2008-07-26 10:49:29.003333
|
|
|
oRb
Сообщений: 4044
Оценки: 597
Присоединился: 2007-03-28 18:45:06.630000
|
quote:
ORIGINAL: FriLL oRb а почему мой вариант не получиться??? потому что ты не поинмаешь разделения информации на код и данные. если юы было вот так: <?php $search=$_GET['text']; eval("echo('по запросу $search ничего не найдено')"); ?> Тогда бы можно было.
|
|
|
RE: выполнение произ пхп кода - 2008-07-26 14:07:31.380000
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
Спасибо за разъяснение
|
|
|
|
|