Ver Mensaje Individual
  #1 (permalink)  
Antiguo 15/05/2009, 00:14
LeandroA
 
Fecha de Ingreso: abril-2005
Mensajes: 351
Antigüedad: 18 años, 11 meses
Puntos: 3
Seguridad de este Script

Hola estoy intentando hacer un contador de descargas, bueno me falta mucho, pero para empezar con lo que fui recolectando no veo muy seguro este script

Código PHP:
<?php
if (isset($_GET["url"])) {
$NombreFichero $_GET["url"];
$RutaFichero =  'archivos/'.$NombreFichero;
if (
file_exists($RutaFichero)) {
header"Content-Type: application/octet-stream");
header"Content-Length: ".filesize($RutaFichero));
header"Content-Disposition: attachment; filename=".$NombreFichero."");
readfile($RutaFichero); 
}
}
?>
por ejemplo

si esta asi va todo bien
http://localhost/descarga1.php?url=miarchivo.txt

pero si algun malintencionado pondria algo como esto y es donde esta por ejemplo las contraseñas de una bd o lo que sea privado

http://localhost/descarga1.php?url=../conexion.php

mas que nada es una duda y cualquier sugerencia en el codigo es buena, soy muy novato.

Saludos
__________________
www.leandroascierto.com