zabezpecenie eval-u?

d0.0b · Napísal **d0.0b**: 12.09.2010 12:42 | zabezpecenie eval-u?

Kód:

$file = file_get_contents($_FILES['userfile']['tmp_name']);
eval('?>'.$file.'<?');

takze mam ten spominany kod ako by som ho mohol zabezpecit napr aby niekto nemohol vlozit skodlivy kod, napr. fwrite atd...

Ďuri · Napísal **Ďuri**: 12.09.2010 12:45 | zabezpecenie eval-u?

Radsej napis, co chces spravit, lebo som si takmer isty, ze nech to budes zabezpecovat, ako chces, stale sa bude dat spustit skodlivy kod.

d0.0b · Napísal autor témy **d0.0b**: 12.09.2010 12:53 | zabezpecenie eval-u?

alebo inak, neexistuje nejaka ina funkcia ktora by zvladla spustenie skriptu?
podobne ako eval ale bezpecnejsie?

skusal som na eval a funguje

Kód:

function my_strpos($haystack, $needle) {
     if (is_array($needle)) {
         foreach ($needle as $need) {
               if (strpos($haystack, $need) !== false) {
                       return true;
               }
         }
     }else {
          if (strpos($haystack, $need) !== false) {
                       return true;
          }
     }

     return false;
}


$file = file_get_contents($_FILES['userfile']['tmp_name']);
$field = $file;
 $arr = array("file_", "fopen", "fwrite", "file_put_", "unlink");
   if (my_strpos($field, $arr) === true) {
   die("...");
      }
     else
     {
   //echo("ok!");
      }

lenze potrebujem vsetky nebezpecne php funkcie ktore by mohol eval spustit (ako napr. na vykonanie nejakeho backup-u alebo tak) ...

Blackshadow · Napísal **Blackshadow**: 12.09.2010 12:57 | zabezpecenie eval-u?

Radsej napis, naco to potrebujes a co chces dosiahnut, ako pisal Duri... Lebo toto na 99% zla cesta

d0.0b · Napísal autor témy **d0.0b**: 12.09.2010 12:57 | zabezpecenie eval-u?

precitaj si moj druhy post je editovany

dosiahnut chcem aby sa eval-om nic nedokazilo pri spustani

Blackshadow · Napísal **Blackshadow**: 12.09.2010 13:00 | zabezpecenie eval-u?

Ale ten napad -> spustat uploadnuty php subor EVALom je blbost....
Preto sa pytam, naco to potrebujes..

d0.0b · Napísal autor témy **d0.0b**: 12.09.2010 13:00 | zabezpecenie eval-u?

pretoze dekodujem jeden php skript a na proces to tam musi byt ...

Kód:

$arr = array("file_", "fopen", "fwrite", "file_put_", "unlink");

to $arr je nieco ako blacklist funkcii ktore ak sa nachadzaju v php uploadnutom kode sa nespusti eval-om, teda die("...") ....

chrono · Napísal **chrono**: 12.09.2010 13:29 | zabezpecenie eval-u?

Ak dekóduješ ten skript, čo si mi poslal, tak tam eval nepotrebuješ.

emer · Napísal **emer**: 12.09.2010 14:18 | zabezpecenie eval-u?

zrejme chce spravit nieco take, ze user unho moze spustat svoje skripty, ale s obmedzeniami.

ale ajtak je to blbost, lebo ked pouzijes to tvoje osetrenie a ja tam pichnem

Kód:

$U = "u"."nlink";
$U("index.php");

d0.0b · Napísal autor témy **d0.0b**: 12.09.2010 14:36 | zabezpecenie eval-u?

jj emer tak na toto som nemyslel ...
tak budem musiet najst inu cestu , ok dik vsetkym

stenley · Napísal **stenley**: 12.09.2010 14:39 | zabezpecenie eval-u?

.htaccess s disable_functions ti nepomoze?

d0.0b · Napísal autor témy **d0.0b**: 12.09.2010 14:42 | zabezpecenie eval-u?

stenley mas nejaky priklad?
hladam na google "disable_functions" ale nic rozumne pre htacess

stenley · Napísal **stenley**: 12.09.2010 14:54 | zabezpecenie eval-u?

Kód:

php_value disable_functions fopen,fwrite

ale zrejme to pojde nastavit, len ak mas pristup k php.ini

zabezpecenie eval-u?

zabezpecenie eval-u?

Podobné témy

ako ukryt funkciu eval?

Problem s funkciou eval()

eval()'d code + Invalid default value for 'log'

Ako načítať z Edit-u do Timer-u

píše ´u miesto ú...

Zabezpečenie

zabezpecenie

zabezpečenie

Wifi zabezpecenie.

zabezpecenie WiFi

Zabezpecenie PC

Zabezpecenie ebajku

zabezpecenie suborov

ZABEZPECENIE POCITACA

PDF-zabezpečenie

Zabezpecenie Ubuntu