ファイル読み込み元として、GETやPOSTの内容を利用してしまうと、
思わぬファイルが読み込まれて、作成者の意図しないページが
外部に表示されてしまうことがあります。
includeを使って別ページをロードさせているようなところは、ありませんか?
<?php
include $_GET['opt_file'];
?>
ここにこのページを読み込ませてみます。
<?php
echo "ファイルが実行されました。";
?>
という部分に、ページのURLを指定すると、
のように、ファイルが実行されて、別ファイルのスクリプトだった
「ファイルが実行されました。」が表示されてしまいますね。
外部から実行されないように、includeの使い方には注意が必要ですね。
0 件のコメント:
コメントを投稿