Взломали сайт. Предположительно воспользовались уязвимостью конструкции: Код (Text): <?php $filename=$_GET["filename"]; $filename=str_replace("ftp://","", str_replace("http://","", strip_tags(escapeshellcmd($filename)))); include($filename); ?> Помогите, что надо добавить, чтобы закрыть дыру.
dhel Пропустить переменную через регулярку, прежде чем тупо скармливать ее команде include. :/ http://www.php.net/pcre
Еще добавила проверку на существования файла: Код (Text): if (file_exists($filename)) { include($filename); } Так лучше будет?
dhel Ищи моё первое сообщение на этом форуме, там есть ответ (а так-же в каждом сотом моём сообщении на этом форуме)