Помогите с самописным PHP

Сообщений: 436 Регистрация: Мар 2010

#16

30 Января 2013 21:48

вот какой код получился

Цитата

<?php
if(!$txt)
{
echo "Хакер чтоли?";
}else{
$f = fopen("" . $txt . "", "r");
$arrM = explode(",",fgets($f));
if ($arrM[1] == 1){
echo "<iframe src=\"" . $arrM[2] . "\" width=\"610\" height=\"400\" frameborder=\"0\"></iframe>";
fclose($f);
}elseif ($arrM[1] == 2){
echo "<object width=\"610\" height=\"400\"><param name=\"movie\" value=\"" . $arrM[2] . "\"><param name=\"allowScriptAccess\" value=\"always\"><param name=\"wmode\" value=\"transparent\"><param name=\"allowFullScreen\" value=\"true\"><embed src=\"" . $arrM[2] . "\" allowFullScreen=\"true\" wmode=\"transparent\" width=\"610\" height=\"400\" type=\"application/x-shockwave-flash\"></object>";
fclose($f);
}elseif ($arrM[1] == 3){
echo "<iframe src=\"" . $arrM[2] . "\" width=\"610\" height=\"400\" frameborder=\"0\" webkitAllowFullScreen mozallowfullscreen allowfullscreen scrolling=\"no\"></iframe>";
fclose($f);
}elseif ($arrM[1] == 4){
echo "<iframe title=\"Kiwi player\" width=\"610\" height=\"400\" src=\"" . $arrM[2] . "\" frameborder=\"0\" allowfullscreen></iframe>";
fclose($f);
}else{
echo "<iframe width=\"610\" height=\"400\" src=\"" . $arrM[2] . "\" frameborder=\"0\" allowfullscreen></iframe>";
fclose($f);
}
}
?>

Бесплатный хостинг файлов, размер диска от 2 до 16 Gb (Прямые, вечные ссылки).

Dr.Death.3

Сообщений: 148 Регистрация: Окт 2012

#17

30 Января 2013 21:50

А код вызова какой, и что в результате вызова выводится

Юрий Кузнецов

Сообщений: 436 Регистрация: Мар 2010

#18

30 Января 2013 21:50

При прямом обращении пишет "Хакер чтоли", но через инклуд показывает HTML, но при этом не видит название текстового файла в строчке

Код
$f = fopen("" . $txt . "", "r");

Изменено: Юрий Кузнецов - 30 Января 2013 21:52

Dr.Death.3

Сообщений: 148 Регистрация: Окт 2012

#19

30 Января 2013 21:53

Укажи полный путь до файла или в вызове или тут

Код
$f = fopen("" . $_SERVER['DOCUMENT_ROOT'] . '/' . $txt . "", "r"); если файл в корне

Юрий Кузнецов

Сообщений: 436 Регистрация: Мар 2010

#20

30 Января 2013 22:01

Урраааа заработало, огромное спасибо!
А что там насчет безопастности, может быть посоветуеш?

Dr.Death.3

Сообщений: 148 Регистрация: Окт 2012

#21

30 Января 2013 22:02

Неа

///

Юрий Кузнецов

Сообщений: 436 Регистрация: Мар 2010

#22

30 Января 2013 22:07

Блин, ну понять не могу как через этот скрипт взломать сайт можно, максимум недостаточная фильтрация, смогут узнать полный путь к сайту, но кто этим заниматься будет, скрипт не стандартный, самописный, а через инклуд путь к этому php все равно не видно. Я просто понять не могу как?

Dr.Death.3

Сообщений: 148 Регистрация: Окт 2012

#23

30 Января 2013 22:14

Гугли "php безопасность include"

Юрий Кузнецов

Сообщений: 436 Регистрация: Мар 2010

#24

30 Января 2013 22:50

Вдоволь нагуглился, в данном варианте не один из способов взлома не прокатит, та как на обычных ссылках страниц, никаких дополнительных переменных не добавляется, ссылки остаются обычные, пробовать подбирать различные переменные в ссылках бесполезно. мало того, ни кто об этих дополнительных php скриптах не знает, тем более о том, где они находятся, не говоря уже о том, на каком сайте находится этот скрипт и т.д. (сами понимаете сколько сайтов данной тематики в итернете)
Так что найти, а темболее сломать через этот скрипт, практически не по зубам даже самым крутым хакерам, да и кому он нафиг нужен мой делитанский сайт, ломают специально, только очень крутые проекты. Я конечно добавлю еще кое какую фильтрацию, но честно говоря, это будет лишним.

Dr.Death.3

Сообщений: 148 Регистрация: Окт 2012

#25

30 Января 2013 22:52

Да я и не говорил конкретно про этот скрипт, а про dle и вот таких php писарей smile:D

Юрий Кузнецов Сообщений: 436 Регистрация: Мар 2010	#26 30 Января 2013 22:59 Чем не нравится писарь, как бы там ни было, сам сделал то что хотел, а не брал в инете не понятно с каких источников, и с какими дырами. Знание PHP также как и Html с Css приходит с практикой, вам бы это не знать. Если в Html и Css я уже с клавы не глядя верстаю, то в PHP только начинаю, вроде получаться начинает, со временем научусь.

Похожие темы:

28.07.2020 23:00	PHP + Ajax, JSON, HTML и SQL! Помогите создать правильный запрос к базе данных!
20.12.2019 09:10	Помогите с кодом для реализации трекинг отслеживания посылок
11.09.2019 16:30	Помогите доработать модуль DLE
23.08.2018 19:42	данные из xml в mysql, помогите
29.09.2017 19:21	Помогите с подключением файлов через php

Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)

Новые темы	Объявления	Свободное общение
09:57 3snet - гемблинг, беттинг, форекс, бинарные опционы, майнинг 19:33 LOSPOLLOS.COM - Конвертим по рецепту Хайзенберга. Dating, Mainstream, Binary Options 17:02 Webvork - международная товарная СРА сеть с сертифицированными офферами на Европу. 15:12 Несколько статей хорошо выдаются в Гугле, но отвратительно в Яндексе 13:40 Dao.AD: Монетизация и покупка Push/Pops/Inpage и Video трафика! 11:41 2Index - быстрая индексация страниц сайта и обратных ссылок 23:00 Продвижение по ключам	04:03 Просто $0.04/IP 9PROXY.COM Резидентные прокси Неограниченная пропускная способность Уникальная политика замены Без чёрного списка 19:55 JustProxy.Biz - Резидентные прокси без ограничения по трафику 15:41 - Вечные ссылки с трастовых сайтов 2024 проверен FastTrust 13:32 TokenTrade — Ваш новый надежный обменник 11:17 Oblaka.in — Обмен криптовалюты быстро, выгодно и безопасно 20:45 SnapSwap.io — мгновенный обмен BTC, XMR, ETH, USDT и других криптовалют без регистрации! 18:11 Clearex.io - Больше чем обменник	16:49 monetizer.agency – рекламная сеть для взрослого и развлекательного трафика. 100$ новому вебмастеру 20:43 Добро пожаловать в цифровой мир... 15:59 Про мясо 23:09 ПП от PMS remote.team - 200$ за команду 13:28 Компьютерная мышь 22:55 Ну что, кто куда деваете свои сайты? 22:34 Используете беспроводные наушники?