Mr.Key Posted July 24, 2012 Report Share Posted July 24, 2012 (edited) Jocīgi Tev tur. Iemetu šādu Apache htdocs un viss notiek: <?php $inc = $_GET['i'] . '.zzz'; var_dump($inc); include $inc; ņem iekšā visu, kas tajā direktorijā. PHP 5.2.17. Varbūt Tavā gadījumā kaut kādi iestatījumi vai suhosin, vai PHP 5.4 to liedz, katrā gadījumā, pēc kļūdas ziņojuma spriežot, null baits nostrādā, problēma ir ar tā faila atrašanu. Edited July 24, 2012 by Mr.Key Quote Link to comment Share on other sites More sharing options...
ieleja Posted July 24, 2012 Report Share Posted July 24, 2012 1. tā arī no autora nesapratu - tas inklūdojamais fails ir tur, kur to meklē? 2. šis fails inklūdojas bez _GET, bet "pa taisno"? Quote Link to comment Share on other sites More sharing options...
007007 Posted July 25, 2012 Author Report Share Posted July 25, 2012 1. tā arī no autora nesapratu - tas inklūdojamais fails ir tur, kur to meklē? 2. šis fails inklūdojas bez _GET, bet "pa taisno"? Inklūdojamais fails tur IR. un kā vēl ir. pilnīgi acīs kož, cik ļoti viņš tur ir.. 'Pa taisno' fails inklūdojas bez problēmām. Quote Link to comment Share on other sites More sharing options...
briedis Posted July 25, 2012 Report Share Posted July 25, 2012 (edited) Nu bet es taču teicu, ka tur tas nulltais baits joprojām ir, viņš tikai nav redzams ar aci. notestē pats: var_dump(urldecode('fails.txt%00') === 'fails.txt'); Kā redzi, izvadīts tiek false, jo tie ir divi pilnīgi dažādi stringi! Piezīmēšu, ka ir dafiga tādu "neredzamo" simbolu, bet tas, ka mēs viņu "neredzam", nenozīmē, ka programma (OS) to ignorēs... Edited July 25, 2012 by briedis Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.