7
मेरे पास एक ऐसी स्थिति है जहां मैं $ _SERVER ['REMOTE_USER'] चर के आधार पर एक फ़ाइल खोल रहा हूं। मुझे नहीं लगता कि यह धोखाधड़ी करने योग्य है लेकिन पुष्टि करना चाहेंगे। मैं अपने आप को मनमाने ढंग से फाइलों के पढ़ने की चपेट में बनाने के लिए नहीं करना चाहती:
<?
$user = $_SERVER['REMOTE_USER'];
$fp = fopen("./$user.png","r");
?>
वेब सर्वर आमतौर पर REMOTE_USER सेट करता है, क्लाइंट नहीं ... –
@MichaelBerkowski, हां, मुझे स्पष्टीकरण दें ... '$ _SERVER' में कुछ भी सर्वर से आता है, लेकिन' REMOTE_USER' कुंजी में क्या दिखाई देता है प्रमाणीकरण के लिए प्रदान की गई ग्राहक जानकारी से सीधे प्राप्त किया जाता है। – Brad
हां लेकिन सर्वर सफल प्रमाणीकरण के बिना REMOTE_USER को पॉप्युलेट नहीं करेगा, इसलिए इसे अन्य सुरक्षा विफलताओं की अनुपस्थिति में मनमाने ढंग से पॉप्युलेट नहीं किया जा सकता है। –