Вообщем если загружать так модули, безопасно? PHP: if (@fopen("themes/".$_GET['module'].".m.php", "r")) { require_once "themes/".$_GET['module'].".m.php"; } else { echo "<div id=\"error\">Ой... Нет такого модуля!</div>"; }
метод взлома по чуйке никак не проймёшь, но в теории инжект возможен, но только через другой инжект: задача сначала каким-либо образом загрузить вредоносный контент в определенную директорию, а потом уже пытаться до него достучаться. случай правда будет сферический в вакууме. можешь считать, что безопасно
Спасибо. Я думал вообще список модулей в массив поместить и сравнивать загружен существующий или нет. Так ведь можно?
Можно. А зачем? Если это будет инжект, то файл тоже будет загружен и он будет существовать) Не парься. Всё в порядке, так как у тебя сейчас написано - делать можно
Надо проверять путь. Моё первое сообщение тут как раз на эту тему http://www.php.ru/forum/viewtopic.php?p=35#35