Помогите с самописным PHP

Сообщений: 436 Регистрация: Мар 2010

#16

30 Января 2013 21:48

вот какой код получился

Цитата

<?php
if(!$txt)
{
echo "Хакер чтоли?";
}else{
$f = fopen("" . $txt . "", "r");
$arrM = explode(",",fgets($f));
if ($arrM[1] == 1){
echo "<iframe src=\"" . $arrM[2] . "\" width=\"610\" height=\"400\" frameborder=\"0\"></iframe>";
fclose($f);
}elseif ($arrM[1] == 2){
echo "<object width=\"610\" height=\"400\"><param name=\"movie\" value=\"" . $arrM[2] . "\"><param name=\"allowScriptAccess\" value=\"always\"><param name=\"wmode\" value=\"transparent\"><param name=\"allowFullScreen\" value=\"true\"><embed src=\"" . $arrM[2] . "\" allowFullScreen=\"true\" wmode=\"transparent\" width=\"610\" height=\"400\" type=\"application/x-shockwave-flash\"></object>";
fclose($f);
}elseif ($arrM[1] == 3){
echo "<iframe src=\"" . $arrM[2] . "\" width=\"610\" height=\"400\" frameborder=\"0\" webkitAllowFullScreen mozallowfullscreen allowfullscreen scrolling=\"no\"></iframe>";
fclose($f);
}elseif ($arrM[1] == 4){
echo "<iframe title=\"Kiwi player\" width=\"610\" height=\"400\" src=\"" . $arrM[2] . "\" frameborder=\"0\" allowfullscreen></iframe>";
fclose($f);
}else{
echo "<iframe width=\"610\" height=\"400\" src=\"" . $arrM[2] . "\" frameborder=\"0\" allowfullscreen></iframe>";
fclose($f);
}
}
?>

Бесплатный хостинг файлов, размер диска от 2 до 16 Gb (Прямые, вечные ссылки).

Dr.Death.3

Сообщений: 148 Регистрация: Окт 2012

#17

30 Января 2013 21:50

А код вызова какой, и что в результате вызова выводится

Юрий Кузнецов

Сообщений: 436 Регистрация: Мар 2010

#18

30 Января 2013 21:50

При прямом обращении пишет "Хакер чтоли", но через инклуд показывает HTML, но при этом не видит название текстового файла в строчке

Код
$f = fopen("" . $txt . "", "r");

Изменено: Юрий Кузнецов - 30 Января 2013 21:52

Dr.Death.3

Сообщений: 148 Регистрация: Окт 2012

#19

30 Января 2013 21:53

Укажи полный путь до файла или в вызове или тут

Код
$f = fopen("" . $_SERVER['DOCUMENT_ROOT'] . '/' . $txt . "", "r"); если файл в корне

Юрий Кузнецов

Сообщений: 436 Регистрация: Мар 2010

#20

30 Января 2013 22:01

Урраааа заработало, огромное спасибо!
А что там насчет безопастности, может быть посоветуеш?

Dr.Death.3

Сообщений: 148 Регистрация: Окт 2012

#21

30 Января 2013 22:02

Неа

///

Юрий Кузнецов

Сообщений: 436 Регистрация: Мар 2010

#22

30 Января 2013 22:07

Блин, ну понять не могу как через этот скрипт взломать сайт можно, максимум недостаточная фильтрация, смогут узнать полный путь к сайту, но кто этим заниматься будет, скрипт не стандартный, самописный, а через инклуд путь к этому php все равно не видно. Я просто понять не могу как?

Dr.Death.3

Сообщений: 148 Регистрация: Окт 2012

#23

30 Января 2013 22:14

Гугли "php безопасность include"

Юрий Кузнецов

Сообщений: 436 Регистрация: Мар 2010

#24

30 Января 2013 22:50

Вдоволь нагуглился, в данном варианте не один из способов взлома не прокатит, та как на обычных ссылках страниц, никаких дополнительных переменных не добавляется, ссылки остаются обычные, пробовать подбирать различные переменные в ссылках бесполезно. мало того, ни кто об этих дополнительных php скриптах не знает, тем более о том, где они находятся, не говоря уже о том, на каком сайте находится этот скрипт и т.д. (сами понимаете сколько сайтов данной тематики в итернете)
Так что найти, а темболее сломать через этот скрипт, практически не по зубам даже самым крутым хакерам, да и кому он нафиг нужен мой делитанский сайт, ломают специально, только очень крутые проекты. Я конечно добавлю еще кое какую фильтрацию, но честно говоря, это будет лишним.

Dr.Death.3

Сообщений: 148 Регистрация: Окт 2012

#25

30 Января 2013 22:52

Да я и не говорил конкретно про этот скрипт, а про dle и вот таких php писарей smile:D

Юрий Кузнецов Сообщений: 436 Регистрация: Мар 2010	#26 30 Января 2013 22:59 Чем не нравится писарь, как бы там ни было, сам сделал то что хотел, а не брал в инете не понятно с каких источников, и с какими дырами. Знание PHP также как и Html с Css приходит с практикой, вам бы это не знать. Если в Html и Css я уже с клавы не глядя верстаю, то в PHP только начинаю, вроде получаться начинает, со временем научусь.

Похожие темы:

28.07.2020 23:00	PHP + Ajax, JSON, HTML и SQL! Помогите создать правильный запрос к базе данных!
20.12.2019 09:10	Помогите с кодом для реализации трекинг отслеживания посылок
11.09.2019 16:30	Помогите доработать модуль DLE
23.08.2018 19:42	данные из xml в mysql, помогите
29.09.2017 19:21	Помогите с подключением файлов через php

Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)

Новые темы	Объявления	Свободное общение
12:44 РСЯ и тормоза сайта: Яндекс начал штрафовать за плохой PageSpeed? 12:42 01.02. Апдейт 31.01 // Chrome готовит "чёрную метку" для ИИ? 23:09 Как безопасно купить Гугл почту? 13:45 Какой движок выбрать для форума? 13:43 Нашел скрины выплат с Сапы за 2010 год. Пошел плакать 09:26 Трафик пробил дно? Худший январь за 10 лет и внезапный рост продаж с Bing 19:27 Плагин ответа	12:36 Nexulume.com Обменник без AML и KYC 09:12 Swapwatch.org — Мониторинг криптовалютных обменников 09:07 Просто $0.04/IP 9PROXY.COM Резидентные прокси Неограниченная пропускная способность Уникальная политика замены Без чёрного списка 23:25 SOCKS5 приватные прокси на 30 дней для PayPal 23:24 Google Voice аккаунты для бесплатных SMS и звонков 23:23 PayPal аккаунты для любых целей 23:02 BestX24 - быстрый и безопасный обменник криптовалют и электронных денежных средств	12:41 Moltbook: Соцсеть для ботов, где людям закрыли рот. Началось? 06:26 Ставки на супер тренды в спорте 22:31 [AI] Бот за $600к советовал есть сыр с крысами. Нью-Йорк его (наконец-то) снес 22:30 Точные прогнозы на футбол 13:38 Осталось 3-5 месяцев до блокировки YouTube в России, — заявил Клименко 07:11 Список обновленных тем пуст... 17:02 Gartner обещал смерть SEO к 2026 году. Открываем метрику и проверяем