Поисковая форма:) поиск по free-lance.ru Топ/история/обновления фриланса, по разным параметрам (темы, сообщения, пользователи...) Автоматическое удаление постов от ненужных юзеров в топике (php скрипт) Досье(точный ник)
 

Ник (или часть ника):
? 		Какой текст ищем:
? 		Раздел блогов:
 За срок
дней		 Тип поиска: (по вхождению: по тексту гуг выдаст посты с "гуг", "гугл", "огугл"; "полнотекстовый": по тексту "гуг" выдаст посты только с "гуг")
По вхождению строки:  Полнотекстовый: 
(поиск не 100% актуальный, есть определённая задержка при обновлении данных для поиска. )
0 Всего найдено: 10
kiroleg Сообщение 20/12/2009 21:09 Копия темы
sql-внедрение Задался одним вопросом.
Подключение к базе осуществляется командой
<?php require_once('sql.php'); ?>
Если я знаю, где лежит этот файл, то теоретически я на любом другом домене могу создать страницу и прописать
<?php require_once('site.com/sql.php'); ?>
и получить все данные.
Почему практически такого сделать нельзя?


-------------------------------
UPD: уточняю вопрос

Содержимое site.com/sql.php

$hostname = "localhost";
$database = "dbname";
$username = "dbuser";
$password = "dbpwd";
$sql = mysql_pconnect($hostname, $username, $password) or trigger_error(mysql_error(),E_USER_ERROR);

Содержимое site.com/index.php

<?php
require_once('sql.php');
mysql_select_db($database, $sql);
$query_misc = "SELECT * FROM misc";
?>

Почему в файле othersite.com/index.php нельзя выполнить команду

<?php
require_once('site.com/sql.php');
mysql_select_db($database, $sql);
$query_misc = "SELECT * FROM misc";
?>
abbat Сообщение 20/12/2009 21:30 Копия темы
Если админы не полные идиоты, то такое невозможно.
mastercat Сообщение 20/12/2009 21:38 Копия темы
потому что site.com/sql.php даст вам не содержимое файла, а результат выполнения скрипта, т.е. ничего.
после этой причины о других, например об ограничениях на доступ по хосту (чаще допустим только localhost), упоминать уже излишне.

а если вы говорите о доступе из под другого аккаунта на том же сервере, то срабатывает банальное ограничение на доступ к файлам. не ставьте права на файл 777\666 и спите спокойно.
saintist Сообщение 20/12/2009 21:51 Копия темы
+1000
barmaley-exe Сообщение 21/12/2009 07:48 Копия темы
А кто сказал, что site.com/sql.php интерпретируется? Может там вообще php нету?
kiroleg Сообщение 21/12/2009 09:40 Копия темы
мне и не нужно содержимое этого файла. мне нужен положительный ответ для доступа к базе, то есть непустая переменная $sql, а получить данные можно и командой select.
mastercat Сообщение 21/12/2009 09:59 Копия темы
%-)
О переменной в контексте какого процесса вы говорите – здесь или там? Соотв. положительный ответ кому? У нас же нет распределенных вычислений и общих переменных. Или я вас вообще не понял...
kiroleg Сообщение 21/12/2009 14:30 Копия темы
уточнил вопрос.
см. топик.
vv_mol Сообщение 21/12/2009 16:00 Копия темы
Смотрим php.ini на предмет safe_mode_include_dir
avenus Сообщение 21/12/2009 17:04 Копия темы
Перенести sql.php в отдельную папку, к примеру: db
И добавить в эту папку db файл .htaccess
С таким содержимым:
Order deny,allow
Deny from all

Теперь никто и никогда не подключит файл sql.php извне ни при каких условиях и настройках сервера ;)
0
©2008 edogs egods
Выразить восторг, поругаться
или предложить что-нибудь можно на форуме 		Для обсуждения этого сервиса так же есть темы на фрилансе по
поиску , флудотопу ,и по удалённым сообщениям ,и по Актуальным/популярным темам , и по топу "кто кому больше наотвечал"