【PHP】下らねぇ質問はここに書き込みやがれ 61at PHP【PHP】下らねぇ質問はここに書き込みやがれ 61 - 暇つぶし2ch■コピペモード□スレを通常表示□オプションモード□このスレッドのURL■項目テキスト650:nobodyさん 08/01/03 08:23:14 9iX7ULgu http://phpspot.org/blog/archives/2007/01/php_71.html ここにある?filename=**で**をincludeするのが危険なのはわかったんだけど、こういうのも危なかったりする? $text = htmlspecialchars($_GET['text']); $textfile= './txt/'.$text.'.txt'; readfile($textfile); 651:nobodyさん 08/01/03 09:11:37 >>650 text=../../hogehoge みたいなアクセスも出来てしまう気がする。 ディレクトリ指定が不要なら basenameを使うべき。 http://jp2.php.net/manual/ja/function.basename.php あとファイル名に対して htmlspecialchars を使うのに、意味があるのかちょっと疑問。 652:nobodyさん 08/01/03 09:15:33 >>651 ためしにtext=../../hogehoge htmlspecialchartは元ソースに$textがなかったときに{$text}がみつかりませんでした。って表示してるからだ。ごめん消し忘れた。 653:650 08/01/03 09:21:41 9iX7ULgu ああ、途中で書いちまった。 ためしにこのphpファイルと同じディレクトリにaaa.txtを置いて?text=../aaa ってやってもWarning: readfile(./txt/../aaa.txt) [function.readfile]: failed to open stream: No such file or directory in C:\www\aaa.php on line *。になる。 次ページ最新レス表示レスジャンプ類似スレ一覧スレッドの検索話題のニュースおまかせリストオプションしおりを挟むスレッドに書込スレッドの一覧暇つぶし2ch