Seguridad de este Script

LeandroA · #1 (**permalink**) 15/05/2009, 00:14

Hola estoy intentando hacer un contador de descargas, bueno me falta mucho, pero para empezar con lo que fui recolectando no veo muy seguro este script

Código PHP:

  <?php
if (isset($_GET["url"])) {
$NombreFichero = $_GET["url"];
$RutaFichero =  'archivos/'.$NombreFichero;
if (file_exists($RutaFichero)) {
header( "Content-Type: application/octet-stream");
header( "Content-Length: ".filesize($RutaFichero));
header( "Content-Disposition: attachment; filename=".$NombreFichero."");
readfile($RutaFichero); 
}
}
?>

por ejemplo

si esta asi va todo bien
http://localhost/descarga1.php?url=miarchivo.txt

pero si algun malintencionado pondria algo como esto y es donde esta por ejemplo las contraseñas de una bd o lo que sea privado

http://localhost/descarga1.php?url=../conexion.php

mas que nada es una duda y cualquier sugerencia en el codigo es buena, soy muy novato.

Saludos

pateketrueke · #2 (**permalink**) 15/05/2009, 00:24

en realidad, puede ser peligroso... pero no

osea, a menos que alguien sepa como y donde están los scripts privados es muy difícil que alguien adivine, o quiera perder el tiempo haciéndolo...

pero puedes reemplazar los ../ con str_replace() si eso te deja tranquilo, suerte!