Citat:
|
Ursprungligen postat av lunne82
Citat:
|
Ursprungligen postat av nomicon
Jepp.. jag kom på det typ minuten efter att jag postade här 
Gjorde en bara en $_GET['file']; i index.php som inkluderas i
target mainFrame, ifall $file e tom så kör den default till main.php
-martin |
Du kollar väl så man inte kan skriva in vad som helst som file?
|
Ja och nej. $file kan vara vad som helst, men konstiga saker tas bort, såsom " ' ` * osv, samt så anges hela sökvägen, inte kul att
ha en index.php?file=../../../../etc/passwd eller något annat "olämpligt"
. och / strippas även bort. sedan lägger den själv till .php efter $file, så jag anser att det är rätt säkert.
-martin