REQUEST_URI i mały trik

Posted wrzesień 24, 2008
Filed under: Ogólnie, PHP | Tags: , , , , |

Czy można ominąć poniższe zabezpieczenie, tak żeby wyświetliło się ‘tajne haslo’ (skrypt nazywa sie config.php)?

<?php
   if ($_SERVER['REQUEST_URI'] == '/config.php') {
      die("nie mozna odwolac sie do tego skryptu bezposrednio!");
   }
   echo 'tajne haslo ';
   //inne tajne dane
?>

Pewnie już domyślacie się odpowiedzi. Wystarczy zamiast config.php wywołać w requescie config%2ephp. Taki mały trik. Zaczerpnięte ze (od niedawna mojej ulubionej) strony suspekt.org. ;]

1 comment so far

  1. c411k on listopad 1, 2008

    good ;)


Zostaw odpowiedź