Доброго времени суток.
Сделал в одном скрипте редактирование некоторых файлов через админку. Так как в файлах некоторая инфа часто меняется, то так удобнее.
Но столкнулся с тем, что можно получить доступ к другому файлу.
Файлы сами в разных папках. какой файл править получаю из GET
т.е. edit=/folder1/file1.php
Но вот если прописать edit=../../conf.php, то и его читать можно.
Сейчас тупо вырезаю из получаемого GET .. (две точки), чтобы нельзя было лазить в другие каталоги. Но вроде как это не особо и правильно.
Как тут лучше поступить?
1. dropoff - 03 Апреля, 2012 - 07:51:09 - перейти к сообщению
2. DelphinPRO - 03 Апреля, 2012 - 08:09:18 - перейти к сообщению
Запрос в url :
index.php?edit=conf
обработка например так
index.php?edit=conf
обработка например так
(Добавление)
dropoff пишет:
Но вроде как это не особо и правильно.
так то да. можно ведь и абсолютный путь ввести без точек
/home/dir/dir/important.file