php array

[thiva7]

 

BTW, στο ...output θα κάνεις το escape;

Σε εμενα παει αυτο?

 

αν ναι τι ειναι escape?

να σας θυμίσω ακόμα μαθαίνω

[geomagas]

Σε εμενα παει αυτο?

 

αν ναι τι ειναι escape?

να σας θυμίσω ακόμα μαθαίνω

 

Όχι, σε αυτό:

 

Απλα με αυτες τις συναρτησεις επιτρεπεις σε καποιον  να κανει unix code injection, να εκτελεσει οτι εντολη θελει στο server αν δε κανεις σωστο escape το output.

[mad-proffessor]

@geomagas

Δεν ήξερα ότι πληρώνομαι για να κάνω μάθημα-διάλεξη στο forum για τις επικίνδυνες php functions κ έχεις δίκιο escape το input κάνεις.

[geomagas]

Μα το point μου είναι αυτό ακριβώς: ξεκινάς μία διάλεξη για κάτι που είναι ουσιαστικά άσχετο όχι μόνο με το topic αλλά και με τον κώδικα από τον οποίο πιάστηκες.

 

Είναι σαν να λες σ' έναν μαθητευόμενο χασάπη ότι θα κοπεί με το μαχαίρι. Χωρίς να σε ρωτήσει.

[mad-proffessor]

Δεν είναι διάλεξη- συμβουλή είναι. Ένα απλο googling να κάνει php security απο τα πρώτα που θα δει είναι να κάνει disable αυτες τις συναρτήσεις.  Αφήνεις το κλειδι του σπιτιού σου στη γλάστρα/κάτω απο το χαλάκι

[geomagas]

Εντάξει, το καταλάβαμε. Να μη χρησιμοποιούμε μαχαίρια, γιατί... κόβουν(!).

[παπι]

@geomagas

Δεν ήξερα ότι πληρώνομαι για να κάνω μάθημα-διάλεξη στο forum .

Οτι να'ναι....

[mad-proffessor]

Ε ναι ρε συ ας διαβασει κανα βιβλίο ή τόσα λινκς στο γκουγκλη υπάρχουν μου θέλει εμπεριστατωμένη ανάλυση γιατι μπορει να σου τρέξει exec("/usr/bin/su"$,blabla) και να σου κάνει own το server. Το οποίο ναι μεν είναι δύσκολο να συμβει γιατι ο λογαριασμός που τρέχει η php δεν έχει login shell αλλα εδω σου κάνουν pown με άλλα πιο απλά τώρα με exec είναι ακόμα ευκολότερο.

[geomagas]

"Ας διαβάσει";!;!;

 

Όταν σου ζητούν να δικαιολογήσεις την (άσχετη) άποψή σου εσύ απαντάς "ας διαβάσει";!;!;

 

I rest my case κυρ-Πρόεδρε!