Trang chủ > Bảo Mật - Bài Viết Phân Tích > PHP Security File Inclusion/Traverse (part 1)

PHP Security File Inclusion/Traverse (part 1)

Global Variables : Biến toàn cục
Biến trong PHP được tạo ra tự động mà không cần khai báo trước khi dùng. nếu gặp $_var là tự tạo biến

Ví dụ sau code có an  toàn không ?

<code>

<?php
//Viet Matrix Revolutions
echo “Viet Matrix Revoulutions”;
echo “<br>”;
if($vietmatrix==1){
echo “Chao admin Viet Matrix Revoulutions”;
}
else
{
echo “Ban khong phai la admin cua Viet Matrix Revoulutions”;
}
?>

</code>

Kết quả code trên sẽ là

Viet Matrix Revoulutions
Ban khong phai la admin cua Viet Matrix Revoulutions

Thế nhưng sự đời đâu có êm ả như thế

Một ngày nọ có 1 người vào nhà của Viet Matrix Revolutions bằng cách
http://localhost/vietmatix.php?vietmatrix=1 thì kết quả sẽ là

Viet Matrix Revoulutions
Chao admin Viet Matrix Revoulutions

Vào đến đây thì người ta hay gọi là có quyền admin hay là hack

Giải pháp Fix lỗi

Khai báo trên code biến như  sau $vietmatrix=0;

thế là ok

<code>

<?php
//Viet Matrix Revolutions
$vietmatrix=0;
echo “Viet Matrix Revoulutions”;
echo “<br>”;
if($vietmatrix==1){
echo “Chao admin Viet Matrix Revoulutions”;
}
else
{
echo “Ban khong phai la admin cua Viet Matrix Revoulutions”;
}
?>

</code>

Kết thúc phần 1

Anderson_neo , alexBTP

ghi rõ nguồn khi phát hành lại thông tin này Viet Matrix Revolutions

  1. Tháng Sáu 9, 2009 lúc 5:41 sáng

    vẫn không hiểu? làm sao nó vào dc echo “Chao admin Viet Matrix Revoulutions”; khi biến $vietmatrix lúc nào cũng bằng 0??? Admin giải thích dùm với nhé.. gà mờ wa …

  1. No trackbacks yet.

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: