Archive for the ‘request’ Tag

REQUEST_URI i mały trik

Czy można ominąć poniższe zabezpieczenie, tak żeby wyświetliło się ‚tajne haslo’ (skrypt nazywa sie config.php)?

<?php
   if ($_SERVER['REQUEST_URI'] == '/config.php') {
      die("nie mozna odwolac sie do tego skryptu bezposrednio!");
   }
   echo 'tajne haslo ';
   //inne tajne dane
?>

Pewnie już domyślacie się odpowiedzi. Wystarczy zamiast config.php wywołać w requescie config%2ephp. Taki mały trik. Zaczerpnięte ze (od niedawna mojej ulubionej) strony suspekt.org. ;]

Reklamy