Para seguir aprendiendo...

sesebas · #1 (**permalink**) 13/03/2009, 09:16

Hola amigos,

Con la ayuda de "David el grande" pude resolver el generar varios includes a partir de un select múltiple, pero me comentaba que esa manera de hacer los includes no era nada segura. Cómo no se la razón les pediría que me orienten un poco... sólo para acotar mejor la búsqueda de documentación. Gracias.

El código propuesto fue el siguiente:

Código php:

Ver originalforeach ($_POST['selector2'] as $value) {    
     include $value;
}

David · #2 (**permalink**) 13/03/2009, 09:22

Te explico por qué no es seguro, supongamos que yo cambio el value de uno de las opciones del select (con Firebug, GreaseMonkey, o lo que sea) y pusiera: http://www.midominio.com/miscript.txt y dentro de ello:

Código php:

Ver original<?php
echo "Inyección PHP";

El código se ejecutaría (claro, dependiendo de la configuración del servidor), por lo que podría ejecutar cualquier código PHP para borrar archivos, modificarlos, obtener datos sensibles del sistema, etc.

sesebas · #3 (**permalink**) 13/03/2009, 09:43

Entiendo.

No tienes en mente alguna documentación que me recomiendes para verlo con más calma?.

Gracias por tu ayuda.

David · #4 (**permalink**) 13/03/2009, 09:47

Aquí:
http://es.wikipedia.org/wiki/Remote_File_Inclusion

Synkronice · #5 (**permalink**) 13/03/2009, 09:47

Se me ocurre, que mejor nos expliques que es lo que necesita tu aplicación y te recomendemos una solución. Y no vale decir que necesitas hacer un include con un foreach, si no el problema que te llevo a pensar que esa era la solución al problema.

Saludos!

sesebas · #6 (**permalink**) 13/03/2009, 09:54

Ok.

Revisaré la documentación que me propones y también contaré en qué estoy pensando y necesito... sólo que ahorita debo salir de la ciudad, apareceré en cuanto tenga ocasión, pero sin duda será pronto.

Gracias de nuevo, saludos.