MrSharif
یک شنبه 15 دی 1392, 07:20 صبح
سلام
<?php
header("Content-Type: application/force-download");
header("Content-Disposition: attachment; filename=\"".$_GET['name']."\"");
$file_content = file_get_contents($_GET['name']);
echo $file_content;
?>
کد بالا داری مشکل امنیتی LFI هست یعنی راحت میشه به صورت زیر ازش سو استفاده کرد
localhost/file.php?name=../../../../../etc/passwd
سوال بنده اینه چطور میتونم این کد رو امن کنم؟ یعنی کاری کنم که فقط پسوند zip رو دانلود کنه و هر پسوند دیگه به هر شکلی وارد شد ارور بده و اجازه دانلود نده
پشاپیش ممنون
<?php
header("Content-Type: application/force-download");
header("Content-Disposition: attachment; filename=\"".$_GET['name']."\"");
$file_content = file_get_contents($_GET['name']);
echo $file_content;
?>
کد بالا داری مشکل امنیتی LFI هست یعنی راحت میشه به صورت زیر ازش سو استفاده کرد
localhost/file.php?name=../../../../../etc/passwd
سوال بنده اینه چطور میتونم این کد رو امن کنم؟ یعنی کاری کنم که فقط پسوند zip رو دانلود کنه و هر پسوند دیگه به هر شکلی وارد شد ارور بده و اجازه دانلود نده
پشاپیش ممنون