Onog momenta kada dodje u situaciju da izvrsi svoj PHP kod, moze da uradi sve sto je PHP-u doyvoleno a to manje/vise znaci sve.
imas u stvari jednostavan trik protiv toga, samo uvedi nekiprefiks za ime datoteke koju inkludujes tako daces da zeznes bilo kakav podmetnut sadrzaj. to je naravno samo brza precica, ali moze da odradi posao ko ti je nezgodno da odrzavas listu dozvoljenih skriptova.
Jos je bolja opciaj da oznaka strane budeneki id a da se na osnovi ID-a u stvari odnekud procitakoji se tacno skript ucitava. Tadane moras da radis neku veliku proveru, prosto ako ID nije definisan, prijavis gresku. Na taj nacin ustvari najbolje izolujes hakera od include i require.
|