From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mithraen@freesource.info>
Date: Mon, 8 Dec 2003 14:11:56 +0300
From: =?koi8-r?B?5MXOydMg883J0s7P1w==?= <mithraen@freesource.info>
To: community@altlinux.ru
Message-ID: <20031208111156.GB3156@localhost.localdomain>
References: <200312081232.32658.iscander@mercuri.mk.ua>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <200312081232.32658.iscander@mercuri.mk.ua>
Subject: [Comm] Re: How did catch *.php from Apache?
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.3
Precedence: list
Reply-To: community@altlinux.ru
List-Id: <community.altlinux.ru>
List-Unsubscribe: <listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Mon, 08 Dec 2003 11:13:55 -0000
Archived-At: <http://lore.altlinux.org/community/20031208111156.GB3156@localhost.localdomain/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Mon, Dec 08, 2003 at 12:32:32PM +0200, Alexandr R. Ogurtzoff wrote:

> Есть ли какой то способ забрать у апача файлы php,  а не то что они 
> воспроизводят? Хочу продемонстрировать необходимость хранения index.php в 
> каталоге... Каталоги доступны на чтение по http имена php файлов знаю. Ответы 
> по соображениям безопасности можно в личку....

Да, можно, но только в случае обнаружения дырки в любом из PHP-скриптов
(чтение из файла, который оказалось возможным задать из GET или
POST-запроса).

Так как PHP автоматически импортирует переменные из GET/POST-запросов, и
большинство программистов не любят это выключать, взломать, если очень
постараться, реально очень часто.

-- 
С уважением, Денис

http://freesource.info