/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
downloader...
Fra : Mickey


Dato : 29-04-01 14:55

nogen der umiddelbart kan se hva der gør at den her ikke virker:

<?
$legalreferer = "susie.dk";
$includedir = "/home/mickey/www/html/mvideo/";
if(!file_exists($includedir.$file)){header("HTTP/1.1 404 File not found");}
if(!ereg($legalreferer, getenv("HTTP_REFERER"))){header("HTTP/1.1 404 File
not found");}
else {
header("Content-Type: audio/x-pn-realaudio");
$outputfile = addslashes($includedir.$file);
$fp = fopen($outputfile, "r");
fpassthru($fp);
}
?>

- RealPlayer vil ikke åben filen, den siger "invalid metafile"


--
|-|$235-|)k - Mickey
http://www.susie.dk - mickey(at)susie.dk
hjælp mig med min eksamen: http://susie.dk/alkohol/sporgeskema



 
 
Christian Jørgensen (29-04-2001)
Kommentar
Fra : Christian Jørgensen


Dato : 29-04-01 15:19

Mickey <news002@susie.dk> wrote:

> $fp = fopen($outputfile, "r");
> fpassthru($fp);

prøv
readfile($outputfile);

Jeg ved ikke om fpassthru kan klare binær data.

--
Christian Jørgensen
http://www.razor.dk

"Uden cola og hikke - Duer helten ikke!"

Mickey (29-04-2001)
Kommentar
Fra : Mickey


Dato : 29-04-01 18:37

"Christian Jørgensen" <ttao0nxes7rv001@sneakemail.com> skrev i en meddelelse
news:Xns9092A62714342.l33t.razor@212.54.64.135...
> Mickey <news002@susie.dk> wrote:
>
> > $fp = fopen($outputfile, "r");
> > fpassthru($fp);
>
> prøv
> readfile($outputfile);

readfile($includedir.$file);
- så virker det...

Nu er problemet så, at hvis jeg giver den et filnavn med mellemrum i, så gir
svarer den med en "server not found"


--
|-|$235-|)k - Mickey
http://www.susie.dk - mickey(at)susie.dk
hjælp mig med min eksamen: http://susie.dk/alkohol/sporgeskema



Stefan Bruhn (29-04-2001)
Kommentar
Fra : Stefan Bruhn


Dato : 29-04-01 15:31

On Sun, 29 Apr 2001 15:54:52 +0200, "Mickey" <news002@susie.dk> wrote:

>$fp = fopen($outputfile, "r");

Prøv med:

$fp = fopen($outputfile, "rb");

--
Mvh. Stefan
Website: http://ghashul.dk/
"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"

Hroi Sigurdsson (29-04-2001)
Kommentar
Fra : Hroi Sigurdsson


Dato : 29-04-01 23:42

Mickey wrote:

> if(!file_exists($includedir.$file)){header("HTTP/1.1 404 File not found");}

Har du ikke et bedre check end dette? Hvis man gerne vil læse din passwd
skal man bare give den:

http://dinserver/ditscript.php?file=../../../../../../etc/passwd

--
Hroi Sigurdsson

Mickey (30-04-2001)
Kommentar
Fra : Mickey


Dato : 30-04-01 11:56

"Hroi Sigurdsson" <hroi@asdf.dk> skrev i en meddelelse
news:3AEC98A0.52EABC1B@asdf.dk...
> Mickey wrote:
>
> > if(!file_exists($includedir.$file)){header("HTTP/1.1 404 File not
found");}
>
> Har du ikke et bedre check end dette? Hvis man gerne vil læse din passwd
> skal man bare give den:
>
> http://dinserver/ditscript.php?file=../../../../../../etc/passwd

$file = ereg_replace("..\/", $file);

- det sku jeg mene ville undgå den der i hvert fald ;) (skal / ikke escapes
?)


--
|-|$235-|)k - Mickey
http://www.susie.dk - mickey(at)susie.dk
hjælp mig med min eksamen: http://susie.dk/alkohol/sporgeskema



Mickey (30-04-2001)
Kommentar
Fra : Mickey


Dato : 30-04-01 12:01

"Mickey" <news002@susie.dk> skrev i en meddelelse
news:9cjcsj$rna$1@egon.worldonline.dk...

> > Har du ikke et bedre check end dette? Hvis man gerne vil læse din passwd
> > skal man bare give den:
> >
> > http://dinserver/ditscript.php?file=../../../../../../etc/passwd
>
> $file = ereg_replace("..\/", $file);

det gik lidt stærkt...

$file = ereg_replace("../", "", $file); sku det være *G*


--
|-|$235-|)k - Mickey
http://www.susie.dk - mickey(at)susie.dk
hjælp mig med min eksamen: http://susie.dk/alkohol/sporgeskema



Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408946
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste