В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Чат канала Бирмана

139 membersпожаловаться на группу
2020 November 10

EL

Evgeniy Lazarev in Чат канала Бирмана
Спасибо
источник
19:44пожаловаться#1

SM

Sasha Maximal in Чат канала Бирмана
Не за что.
источник
19:44пожаловаться#2

VP

Valera Popov in Чат канала Бирмана
А че там сегодня эпл покажет?
источник
19:45пожаловаться#3

EL

Evgeniy Lazarev in Чат канала Бирмана
Valera Popov
А че там сегодня эпл покажет?
Презентацию, Валер
источник
19:45пожаловаться#4

EL

Evgeniy Lazarev in Чат канала Бирмана
Вай-фай приёмник не покажет, подключайся проводом
источник
19:45пожаловаться#5

AK

Alex 🌼 Karantinsky... in Чат канала Бирмана
Evgeniy Lazarev
Саш, как обезопасить себя в такой ситуации?
Пользователь запрашивает с сервера имя файла. Я из get-запроса беру имя запрашиваемого файла и ищу в конкретной папке на своём сервере.
Обезопасить в смысле не отдать случайно что-нибудь не то, если вдруг придёт какой-нибудь хакерский запрос типа "../../../passwords.txt"
Два варианта. Запрети относительные пути. Всё что с точкой в любом сегменте — нахуй. Резолвь путь в абсолютный и проверяй, что префикс такой, как папка из которой ты раздаешь
источник
19:45пожаловаться#6

EL

Evgeniy Lazarev in Чат канала Бирмана
Alex 🌼 Karantinsky
Два варианта. Запрети относительные пути. Всё что с точкой в любом сегменте — нахуй. Резолвь путь в абсолютный и проверяй, что префикс такой, как папка из которой ты раздаешь
Спасибо. Да, сделаю оба варианта
источник
19:45пожаловаться#7

SM

Sasha Maximal in Чат канала Бирмана
Evgeniy Lazarev
Спасибо
Проверка внутри ли:

стрпоз(рилпат(папка) . ДИРЕКТОРИ_СЕПАРАТОР, рилпат(запрошенное)) === 0

тут каждый символ важен (и тройное равно и добавление сепаратора)
источник
19:46пожаловаться#8

AK

Alex 🌼 Karantinsky... in Чат канала Бирмана
Evgeniy Lazarev
Спасибо. Да, сделаю оба варианта
Да, можно сделать оба. Они друг друга дополняют
источник
19:46пожаловаться#9

AK

Alex 🌼 Karantinsky... in Чат канала Бирмана
Тем более что сделав первый ты можешь проебаться что такое сегмент пути и что в этом сегменте нельзя писать
источник
19:47пожаловаться#10

EL

Evgeniy Lazarev in Чат канала Бирмана
А кроме точки нет варианта похакать?
источник
19:47пожаловаться#11

EL

Evgeniy Lazarev in Чат канала Бирмана
Ну, слэш же есть
источник
19:47пожаловаться#12

EL

Evgeniy Lazarev in Чат канала Бирмана
Мне бы в идеале слэш оставить.
источник
19:47пожаловаться#13

AK

Alex 🌼 Karantinsky... in Чат канала Бирмана
Evgeniy Lazarev
Ну, слэш же есть
Давно о нём ничего не слышал. Он в Челябинске ещё?
источник
19:48пожаловаться#14

EL

Evgeniy Lazarev in Чат канала Бирмана
Evgeniy Lazarev
Мне бы в идеале слэш оставить.
Чтобы структуру каталога внутри «родительского безопасного» оставить доступной для запроса извне
источник
19:48пожаловаться#15

SM

Sasha Maximal in Чат канала Бирмана
Evgeniy Lazarev
А кроме точки нет варианта похакать?
Теоретически ещё символьная ссылка (ярлык). Но это если тебя ломанули и с другого конца: 8==👊🏻э
источник
19:48пожаловаться#16

SM

Sasha Maximal in Чат канала Бирмана
Ну, тип....
источник
19:48пожаловаться#17

EL

Evgeniy Lazarev in Чат канала Бирмана
Ну пока короче вот так:
$template_path = realpath(__DIR__.'/../../include/templates/').'/' . $request . '.hbs';
источник
19:49пожаловаться#18

SM

Sasha Maximal in Чат канала Бирмана
Ну плюс-минус
источник
19:49пожаловаться#19

EL

Evgeniy Lazarev in Чат канала Бирмана
Это без проверки, просто сейчас так
источник
19:49пожаловаться#20