PHP stream wrappers
Op het weblog van Tri Pham vinden we vandaag een interessant verhaal over hoe PHP stream wrappers veiligheids lekken kunnen veroorzaken bij includes die gegenereerde bestandsnamen gebruiken. Als er niet voldoende gecontroleerd wordt op de bestandsnaam zou je zomaar eens een PHP stream wrapper kunnen activeren.
Moraal van het verhaal? Controleer altijd of een gegenereerde bestandsnaam wel uit geldige karakters bestaat als je aan het automagisch includen gaat. Zo zijn : en /, 2 karakters die gebruikt worden om het gebruik van een php stream wrappers aan te geven, geen geldige karakters voor in een bestandsnaam. Door bijvoorbeeld basename() te gebruiken op de bestandsnaam kun je al een hoop ellende voorkomen.
Volg Scriptorama via RSS!
on 
on 
on 
on 
on 
on
Reageer ook!
Line and paragraph breaks automatic, e-mail address never displayed, HTML allowed:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>