Todos os ficheiro .qualquercoisa

[RicardoR]

Boas

Estou com um problema relativo à abertura de todos os ficheiros de um formato, neste caso .txt de uma determinada directoria.

A minha ideia era apos ter esses ficheiros numa variavel mostra-los o que depois me parece ser mais fácil.

Alguém me dá uma maozinha xD?

Abraço

[saunde]

código ?

[RicardoR]

Desculpem de não ter posto o código  ?

<?php 

$dir = "/home/a6483987/public_html/nc";

$sub = ($_GET['dir']);
$path = '/home/a6483987/public_html/nc';
$path = $path . "$sub";
$dh = opendir($path);
while (($file = readdir($dh)) !== false) {
    if($file != "." && $file != "..") {
            if (substr($file, -4, -3) =="."){
           $ler_texto=fopen($file,"r");
	   while(($a=fgets($ler_texto,1000)) !=false){
	   echo $a ;
	   }
	   fclose($ler_texto);
            }else{            
        echo " <a href='?dir=$sub/$file'><font face=candara color=#CCCCCC>$file</font></a><br />";
          }
    }
}
closedir($dh);
?>

Não está a dar com os seguintes erros :

Warning: fopen(ola.txt) [function.fopen]: failed to open stream: No such file or directory in /home/a6483987/public_html/nc.php on line 20

Warning: fgets(): supplied argument is not a valid stream resource in /home/a6483987/public_html/nc.php on line 21

Warning: fclose(): supplied argument is not a valid stream resource in /home/a6483987/public_html/nc.php on line 24

[djthyrax]

Parece-me bastante óbvio o erro: o ficheiro não existe.

E esse script não é seguro, dava para explorar a máquina onde tens isso a correr.

[cyclop]

usa o glob

[Guest id194]

Parece-me bastante óbvio o erro: o ficheiro não existe.

E esse script não é seguro, dava para explorar a máquina onde tens isso a correr.

Como?  ?

[djthyrax]

Como?  ?

Como o quê? Explorar? Dá uma olhada ao percuso do valor do $_GET['dir'], basta usar paths relativos que vou onde quiser.

[Guest id194]

Como o quê? Explorar? Dá uma olhada ao percuso do valor do $_GET['dir'], basta usar paths relativos que vou onde quiser.

Mas ele está a fazer isto: $path = $path . "$sub"; E o $path já tem valor: $path = '/home/a6483987/public_html/nc'; Assim só podes andar para a frente e não para trás, e ao andar para frente se calhar é o que ele quer e não tem la nada que tu não possas ver... Ou então não estou a perceber.

[RicardoR]

Parece-me bastante óbvio o erro: o ficheiro não existe.

E esse script não é seguro, dava para explorar a máquina onde tens isso a correr.

O ficheiro está lá ola.txt...O erro não sei porque é que está a dar ...

A variável abrange todos os ficheiros lá so tenho  ola.txt

Abraço

[djthyrax]

Mas ele está a fazer isto: $path = $path . "$sub"; E o $path já tem valor: $path = '/home/a6483987/public_html/nc'; Assim só podes andar para a frente e não para trás, e ao andar para frente se calhar é o que ele quer e não tem la nada que tu não possas ver... Ou então não estou a perceber.

Teres /home/lulz/ ou /home/lulz/oi/../../ é a mesma coisa.

[fnds]

$root=dirname(__file__);
$file=$root.$_get['dir'];

atenção o script não está seguro......

[RicardoR]

Mas alguém sabe resolver do erro?

Sobre a segurança como por seguro e como se entrava na máquina?

Abraço

[fnds]

a melhor maneira para pores seguro, é fazeres uma listagem dos ficheiros que desejas abrir, ex:

$root=dirname(__file__).'/';

$ficheiros_autorizados=array('batatas.txt', 'couves.txt', 'RicardoR.coco');
if(in_array($_GET['file'],$ficheiros_autorizados)){

/*o código que queres ex:*/

include($file=$root.$_get['file'];

}

[infopc]

parece-me bastante obvio

onde tens

$path = $path."$sub"

deveria estar

//aqui insere código que verifique se a string que vem  GET é segura
$path = $path.$sub

sobre segurança bastava por no link da pagina algo como "index.php?dir=../../.." e andava logo 3 pastas para traz (confirmas djthyrax?)

[djthyrax]

O facto de ele ter "$sub" não muda nada, não há aí erro algum.

sobre segurança bastava por no link da pagina algo como "index.php?dir=../../.." e andava logo 3 pastas para traz (confirmas djthyrax?)

Sim.

[Guest id194]

Eu só não sabia era que fazer "/home/lulz/oi/../../abc/php/" era relamente fazer "/home/abc/php/" o que me parece mais lógico, mas segundo o exemplo que deste lá em cima djthyrax, ficaria mais "/home/lulz/abc/php/". Eu só não sabia que isto era possível. Acho que tudo o que programei até hoje tem falhas de segurança atão :X

[djthyrax]

Sim, tenho o ../ a mais no meu exemplo. 👍

[MX+]

Todos os endereços para ficheiros devem ter:

$path = str_replace(array('/', '\'), '', $path);

Desta forma eliminas todas as possibilidades de navegação 👍

«

[djthyrax]

Todos os endereços para ficheiros devem ter:

$path = str_replace(array('/', '\'), '', $path);

Desta forma eliminas todas as possibilidades de navegação 🙂

«

Esqueceste-te de escapar a \ 👍 Mas sim, é isso. 😄

[MX+]

Esqueceste-te de escapar a \ 😄 Mas sim, é isso. 😄

Já não é a primeira vez LOL Mas passa despercebido xD