לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה ‎print ‎"Hello World!"; if‎ ‎not rules.‎know ‎then rules.‎read(); חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > תכנות ובניית אתרים
רענן עמוד זה הרצת קוד php בדף shtml, אפשרי?
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
« לאשכול הקודם | לאשכול הבא »
 
כלי אשכול חפש באשכול זה



  #1  
ישן 15-04-2009, 01:04
צלמית המשתמש של בן אור
  בן אור בן אור אינו מחובר  
 
חבר מתאריך: 24.02.05
הודעות: 17,595
שלח הודעה דרך ICQ אל בן אור שלח הודעה דרך MSN אל בן אור Facebook profile Follow me...
הרצת קוד php בדף shtml, אפשרי?
עד כמה שהבנתי shtml מעובד בצד השרת בדומה ל php, האם אפשר להגיד לו לטעון דף php בצורה כזאת שהוא יריץ את דף ה php?

תודה לעוזרים


אומנם יש כאן shtml, אבל זה הפורום הכי קרוב לנושא
_____________________________________
חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #2  
ישן 15-04-2009, 13:51
צלמית המשתמש של בן אור
  בן אור בן אור אינו מחובר  
 
חבר מתאריך: 24.02.05
הודעות: 17,595
שלח הודעה דרך ICQ אל בן אור שלח הודעה דרך MSN אל בן אור Facebook profile Follow me...
בתגובה להודעה מספר 1 שנכתבה על ידי בן אור שמתחילה ב "הרצת קוד php בדף shtml, אפשרי?"
לא חשוב מצאתי
קוד PHP:
 <!--#include virtual="fileName.php" --> 

בתוך דף ה shtml
_____________________________________
חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #3  
ישן 15-04-2009, 19:59
  משתמש זכר dorM dorM אינו מחובר  
מנהל
  
חבר מתאריך: 26.07.08
הודעות: 6,473
בתגובה להודעה מספר 1 שנכתבה על ידי בן אור שמתחילה ב "הרצת קוד php בדף shtml, אפשרי?"
סיומת כזו בברירת מחדל של השרת מאפשרת הרצת SSI... אם הגולשים שלך יצליחו להזריק תגי HTML ואת התו גרשיים ( " ) זה חתיכת פירצה...
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #4  
ישן 15-04-2009, 22:29
צלמית המשתמש של בן אור
  בן אור בן אור אינו מחובר  
 
חבר מתאריך: 24.02.05
הודעות: 17,595
שלח הודעה דרך ICQ אל בן אור שלח הודעה דרך MSN אל בן אור Facebook profile Follow me...
בתגובה להודעה מספר 3 שנכתבה על ידי dorM שמתחילה ב "סיומת כזו בברירת מחדל של השרת..."
אני משתמש ב shtml רק לדף 404 שאין לי ברירה אלא להשתמש בו.

ולxss לרוב מספיק שהמשתמש יוכל להכניס תג <script>, אין צורך בגרשיים
_____________________________________
חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #5  
ישן 15-04-2009, 22:57
  משתמש זכר dorM dorM אינו מחובר  
מנהל
  
חבר מתאריך: 26.07.08
הודעות: 6,473
בתגובה להודעה מספר 4 שנכתבה על ידי בן אור שמתחילה ב "אני משתמש ב shtml רק לדף 404..."
אני לא מדבר על קוד javascript, אלא על SSI (תבצע חיפוש)

קוד SSI מאפשר להריץ קוד shell ומזיקים רבים אחרים...

למה אתה לא מפנה לעמוד PHP במקרה של שגיאת 404 ?
נערך לאחרונה ע"י dorM בתאריך 15-04-2009 בשעה 22:59.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #6  
ישן 16-04-2009, 01:04
צלמית המשתמש של בן אור
  בן אור בן אור אינו מחובר  
 
חבר מתאריך: 24.02.05
הודעות: 17,595
שלח הודעה דרך ICQ אל בן אור שלח הודעה דרך MSN אל בן אור Facebook profile Follow me...
בתגובה להודעה מספר 5 שנכתבה על ידי dorM שמתחילה ב "אני לא מדבר על קוד..."
המשתמש צריך גישה להריץ קוד ב SSI, את זה הוא לא יכול להשיג באמצעות הזרקת קוד רגילה כי אז הקוד שרץ בשרת יפרש אותה כמחרוזת.
ומה הקשר לתגי html?

השרת שעליו אני רץ מגביל אותי להשתמש רק ב shtml לדפי שגיאה
_____________________________________
חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #7  
ישן 16-04-2009, 01:35
  משתמש זכר dorM dorM אינו מחובר  
מנהל
  
חבר מתאריך: 26.07.08
הודעות: 6,473
בתגובה להודעה מספר 6 שנכתבה על ידי בן אור שמתחילה ב "המשתמש צריך גישה להריץ קוד ב..."
תקרא:
http://ulysses.sr.unh.edu/docs/SSI.doc.html

http://www.google.co.il/search?hl=i...%95%D7%A9&meta=


השרת (apache או IIS) הוא זה שמפענח קוד SSI.
קוד SSI זה קוד תסריט שהשרת מפענח לפני שהוא שולח את המידע לצד קצה.
במקרה הוחלט שקוד SSI יהיה בעל תבנית של תוי HTML (כמו > < ו- ") שמגדירים תגים, או באופן ספציפי יותר במבנה של הערת HTML, וזאת כדי למנוע תצוגה של קוד SSI ע"י הדפדפן במקרה שהקוד נכשל\לא-תקין (שאז הדפדפן מתייחס אליו בתור הערה).
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #8  
ישן 16-04-2009, 11:47
צלמית המשתמש של בן אור
  בן אור בן אור אינו מחובר  
 
חבר מתאריך: 24.02.05
הודעות: 17,595
שלח הודעה דרך ICQ אל בן אור שלח הודעה דרך MSN אל בן אור Facebook profile Follow me...
בתגובה להודעה מספר 7 שנכתבה על ידי dorM שמתחילה ב "..."
עד כמה שהבנתי אם המשתמש מצליח לשלוט בתוכן של SSI הוא יכול לעשות יותר נזק מאם הוא מצליח לשלוט על התוכן של PHP?

אך בכל מקרה הזרקה כזאת היא לא דבר פשוט אם אין למשתמש גישה ל eval
_____________________________________
חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #9  
ישן 16-04-2009, 15:06
  משתמש זכר dorM dorM אינו מחובר  
מנהל
  
חבר מתאריך: 26.07.08
הודעות: 6,473
בתגובה להודעה מספר 8 שנכתבה על ידי בן אור שמתחילה ב "עד כמה שהבנתי אם המשתמש מצליח..."
ציטוט:
עד כמה שהבנתי אם המשתמש מצליח לשלוט בתוכן של SSI הוא יכול לעשות יותר נזק מאם הוא מצליח לשלוט על התוכן של PHP?


מאיזה בחינה לשלוט על קובץ PHP? הכוונה להזריק קוד PHP לקובץ PHP? זה פירצה לא ממש פופולרית.
בדר"כ היא מתאפשרת ע"י קוד שמבצע אינקלוד לקובץ שהוא אינו קובץ php כדי להציג את התוכן שלו למשתמש (לפלוט את התוכן לדפדפן).
המתכנת לא חשב על האפשרות שהקובץ הזה עלול להכיל קוד PHP, שאז קוד PHP מתאפשר כמו שביקשת ("לשלוט על התוכן של PHP").

אני לא בטוח אבל אני חושב ששני הפירצות האלו מסוכנות באותה מידה. גם קובץ PHP יכול להריץ פקודות דרך shell. תראה: http://il.php.net/shell_exec

בכל מקרה אני לא הייתי מתעסק עם זה בכלל. במקרה של שגיאת 404 זה לא כ"כ חיוני שתציג להם דף מהשרת שלך...

ציטוט:
אך בכל מקרה הזרקה כזאת היא לא דבר פשוט אם אין למשתמש גישה ל eval

פונקצית eval זה כבר משהו אחר.. אתה מערבב נושאים..
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #10  
ישן 16-04-2009, 16:46
צלמית המשתמש של בן אור
  בן אור בן אור אינו מחובר  
 
חבר מתאריך: 24.02.05
הודעות: 17,595
שלח הודעה דרך ICQ אל בן אור שלח הודעה דרך MSN אל בן אור Facebook profile Follow me...
בתגובה להודעה מספר 9 שנכתבה על ידי dorM שמתחילה ב "[QUOTE]עד כמה שהבנתי אם..."
פקודת eval זאת הדרך העיקרית שבה תוקף יוכל להריץ קוד על השרת.

יכול להיות שאתה מתכוון שאם אני מציג מידע מהמשתמש דרך shtml והמשתמש הכניס קוד במידע הזה אז הקוד הזה מורץ?

בכל מקרה לאור כך שאיו שום דבר דינאמי ב shtml הוא מריץ קוד קבוע שלא משתמש במידע מהמשתמש אז אין בו פרצה
_____________________________________
חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #11  
ישן 16-04-2009, 17:04
  משתמש זכר dorM dorM אינו מחובר  
מנהל
  
חבר מתאריך: 26.07.08
הודעות: 6,473
בתגובה להודעה מספר 10 שנכתבה על ידי בן אור שמתחילה ב "פקודת eval זאת הדרך העיקרית..."
ציטוט:
במקור נכתב על ידי בן אור
יכול להיות שאתה מתכוון שאם אני מציג מידע מהמשתמש דרך shtml והמשתמש הכניס קוד במידע הזה אז הקוד הזה מורץ?

כן
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה
« לאשכול הקודם | לאשכול הבא »

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
מצב כלאיים מצב כלאיים
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך
קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 01:37

הדף נוצר ב 0.04 שניות עם 12 שאילתות
צור קשר - Fresh - למעלה

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר