Виктор Ольховский
222 сообщения
#14 лет назад
Как известно, форумы позволяют вставлять в тело темы теги картинок и так далее. и вставленный код ютуба к примеру, тоже выполнится.
Но язык php позволяет указывать картинки не явно а как результат работы скрипта (смотри заголовок темы) можно ли в стандартный форум зафигачить такой код - чтобы выполнился скрипт генерирующий картинку???
Евгений Б.
5330 сообщений
#14 лет назад
Конечно можно.
так рисуются счетчики, графики статичные и т.п.
Виктор Ольховский
222 сообщения
#14 лет назад
А может ли этот скрипт принять параметры? Я имею в виду - сможет ли он увидеть внутренние переменные форума? Если к примеру я знаю их? Например - s.php?v=$login2
А можно ли этому скрипту передать куки, установленные на компьютере пользователя, который читает форум? К примеру:s.php?v=$_COOKIE?
Себастьян Ф.
584 сообщения
#14 лет назад
Так скрипт и так может читать куки, без передачи параметров. Разумеется согласно ограничений накладывающих стандартом.
Никита К.
1594 сообщения
#14 лет назад
Очень много капч именно так и работают, пишут что то вроде
]http://site.ru/image.php?sid=$_SESSION
и т.д.
Себастьян Ф.
584 сообщения
#14 лет назад
И такое будет работать:

s.php?param=echo%20''I%20am%20hacker";

s.php

<?php
if (!empty($_REQUEST)) eval($_REQUEST);
?>


Непонятно, зачем это Вам только..
Виктор Ольховский
222 сообщения
#14 лет назад
Так тогда получается, на любом форуме можно узнать к примеру логин пользователя который только ни зайдет в тему! Ну если через куки авторизация. Так что ли?
Сергей Д.
326 сообщений
#14 лет назад
Конечно.
Можно даже указать href="yousite.com/image.jpg"? А на сервере обрабатывать запрос image.jpg с помощью php. Мод-реврайтом у апача, соотв. локейшеном в нжинксе. Этот скрипт делает что-то, а потом отдаёт "наружу" картинку. Я так делал.
Сергей Д.
326 сообщений
#14 лет назад
О! Пока писал, уже сколько народу отписалось :-)
Куки вы можете получить только те, которые сами установили, чужие не узнаете
Виктор Ольховский
222 сообщения
#14 лет назад
Ну это понятно. но вот что не понятно - возьмем стандартный форум - можно почитать о нем и узнать названия всех внутренних переменных. А потом передавать таким образом их содержимое. Неужели такое допустимо?
Виктор Ольховский
222 сообщения
#14 лет назад
Цитата ("oren"):
Куки вы можете получить только те, которые сами установили, чужие не узнаете

Что значит сам? А если в эту тему зайдет пользователь и я буду знать НАЗВАНИЕ его кука? Что мне помешает написать s.php?v=$_COOKIE?
Себастьян Ф.
584 сообщения
#14 лет назад
Цитата ("viktorkoptima"):
Так тогда получается на любом форуме можно узнать к примеру логин пользователя который только ни зайдет в тему!(ну если через куки авторизация) так что ли?


Нет нельзя, если этого не предусматривал разработчик.

Цитата ("viktorkoptima"):
что мне помешает написать s.php?v=$_COOKIE?


Вы путаетесь. Если передать такой запрос. То в скрипте Вы получите переменную $_GET которая будет содержать (!) просто текст, т.е.

$_GET = "$_COOKIE";

но никак не

$_GET = "чей_то_логин"
Сергей Д.
326 сообщений
#14 лет назад
Цитата ("viktorkoptima"):
что значит сам? а если в эту тему зайдет пользователь и я буду знать НАЗВАНИЕ его кука? что мне помешает написать s.php?v=$_COOKIE?

Написать вам ничто не помешает :-)
Только $_COOKIE - это что такое будет? PHP код не работает "в браузере", Вашему скрипту s.php в параметре v никаких значений кук не придёт. Вы чётко уясните для себя что где работает.

Цитата ("viktorkoptima"):
"что значит сам?"

Допустим браузер отправляет запрос по адресу site.com. В заголовках он отправляет и значения кук, полученных именно с сайта site.com. Это если не углубляться. Есть ещё куки "только для https", есть "для пути"...
Вадим Т.
3240 сообщений
#14 лет назад
Куки привязаны к хосту (домену).
То есть, если Ваш скрипт, выводящий картинку, находится на другом хосте, чем форум, то куки пользователей форума скрипту доступны не будут.
Это основной принцип безопасности, реализованный во всех современных браузерах.

Получение чужих кук пользователей сайта возможно, если взломщик может грузить свои яваскрипты или флешки на сам сайт.
Но даже получив чужие куки, взлом возможен только если сайт при этом не имеет ограничений сессий по IP адресу, и прочих защит. Мой аккаунт однажды так взломали на одном сайте, где подобной защиты в то время не было.
Виктор Ольховский
222 сообщения
#14 лет назад
Тут собственно задачка вот какая: мне на самом деле не нужны куки с форума. Вопрос таков: если мой собственный сайт (не форум) установил на компьютере пользователя кук определенный, сможет ли этот самый скрипт s.php опознать этот кук, если пользователь этот зайдет на форум, С КОТОРОГО скрипт s.php запустится способом, который я уже описывал?
-------------------------
То есть смысл в том, чтобы скрипт мог ПОНЯТЬ, какой именно пользователь откроет страничку с форумом (ну а который в свою очередь запустит этот скрипт). При этом на компьютере этого пользователя уже будет стоять заранее известный кук, установленный сайтом, на котором находится s.php. Так получится?
Себастьян Ф.
584 сообщения
#14 лет назад
Цитата ("viktorkoptima"):
То есть смысл в том, чтобы скрипт мог ПОНЯТЬ, какой именно пользователь откроет страничку с форумом


Сможет, если кук прописать для корня сайта, например, для , то все скрипты, которые будут ниже корня (), смогут его видеть.
Виктор Ольховский
222 сообщения
#14 лет назад
То есть если на форум в тему с таким внедренным скриптом-картинкой зайдет такой "отмеченный" пользователь, то скрипт сможет это идентифицировать?
Сергей Д.
326 сообщений
#14 лет назад
Конечно.
Николай Г.
601 сообщение
#14 лет назад
Другой вопрос - а зачем так мучаться? Если и так есть доступ к домену, на котором расположен форум - зачем мудрить с псевдокартинкой, берете и пишите простенькую статистику посещений, а то и вообще считываете, наверняка на этом форуме где-то все посещения сохраняются.
Виктор Ольховский
222 сообщения
#14 лет назад
У меня нет доступа к домену, где форум. У меня есть доступ к домену, где мой скрипт! А также у меня есть доступ к пользователям форума, которые могут поставить кук не через форум, а через сайт, на котором скрипт!