0
私はクッキーLOC攻撃の影響を受け易いinclude文のユーザ入力によるハードコードされたテキスト?
に基づいて名前を持つスクリプトにファイルに、このような何かを含むと思っています:
include("sometext".$mycoockie_here."some_text.php");
は、このような攻撃に対して脆弱上記のコードですか? - "sometext"
と"sometex.php"
がハードコードされていても?
警告を防ぐために、まずファイルを含める前にリソースが存在することを確認するために 'file_exists()'を呼び出します。しかし、周囲のオブジェクトは誰かが 'include '/ etc/passwd'のようなことをするのを不可能にします;さらに保証するためには、ファイル名の前に物理パスを記述してください。 – drew010
ちょっと好奇心:なぜ尋ねる?入力を適切に検証すると、懸念する理由はありません。 _anything_を信用しないでください! – KingCrunch
@キング:非常に賢明な助言:) –