【PHP】下らねぇ質問はここに書き込みやがれ 61
at PHP
[
2ch
|
▼Menu
]
■コピペモード
□
スレを通常表示
□
オプションモード
□このスレッドのURL
■項目テキスト
650:nobodyさん 08/01/03 08:23:14 9iX7ULgu http://phpspot.org/blog/archives/2007/01/php_71.html ここにある?filename=**で**をincludeするのが危険なのはわかったんだけど、こういうのも危なかったりする? $text = htmlspecialchars($_GET['text']); $textfile= './txt/'.$text.'.txt'; readfile($textfile); 651:nobodyさん 08/01/03 09:11:37 >>650 text=../../hogehoge みたいなアクセスも出来てしまう気がする。 ディレクトリ指定が不要なら basenameを使うべき。 http://jp2.php.net/manual/ja/function.basename.php あとファイル名に対して htmlspecialchars を使うのに、意味があるのかちょっと疑問。 652:nobodyさん 08/01/03 09:15:33 >>651 ためしにtext=../../hogehoge htmlspecialchartは元ソースに$textがなかったときに{$text}がみつかりませんでした。って表示してるからだ。ごめん消し忘れた。 653:650 08/01/03 09:21:41 9iX7ULgu ああ、途中で書いちまった。 ためしにこのphpファイルと同じディレクトリにaaa.txtを置いて?text=../aaa ってやってもWarning: readfile(./txt/../aaa.txt) [function.readfile]: failed to open stream: No such file or directory in C:\www\aaa.php on line *。になる。
次ページ
最新レス表示
スレッドの検索
類似スレ一覧
話題のニュース
おまかせリスト
▼オプションを表示
レスジャンプ
mixiチェック!
Twitterに投稿
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch
4053日前に更新/264 KB
担当:undef