Forum PHP Romania - Discutii despre PHP, MySQL, Javascript, AJAX, etc

[berliotz]

Am in pagina de index functia include() pentru a include paginile componente. Cum fac sa impiedic includerea unor linkuri externe pentru a evita atacurile de tip remote?

[MihaiC]

Fara prea multe detalii, ha ?!

Ce am inteles eu este ca tu ai ceva de genul include $_GET['pag'] si vrei sa nu ai probleme.
Pai...
Cod:
$pags = array ("x.html","y.html","z.html");

if(in_array($_GET['pag'],$pags)){
    include $_GET['pag'];
}else
    include "x.html";///o pagina default

[kyron]

Cod:
<?php
switch ($_GET['page'])
{
      case 'pag1': include 'page1.php';break;
      case 'pag2': include 'page2.php';break;
      case 'pag3': include 'page3.php';break;

      default: include 'default.php';
}
?>

[joe_black]

Cod:
$myfile = basename($_GET['page']);
$myfile = preg_replace('#[^a-zA-Z0-9_\-]#','',$myfile);
$include_path = $myfile.".php";
if (is_readable($include_path))
{
    include ($include_path);
}


Cred ca asta e mai ok. Aia e prea hard coded.
Ce zici?

[berliotz]

Da, asta e . Multumesc tuturor, sper sa nu mai fie probleme....

[berliotz]

Revin - Codul meu era asa:
<? $pg = $_GET['pg'];
if ($pg == "")
{
$pg = $home;
include("$pg");
}
else
{
include ("$pg");
}
?>

si m-am trezit cu includeri de genul pg=link extern., asta vreau sa evit

[Amenthes]

Daca in php.ini allow_url_fopen si allow_url_include sunt Off nu o sa ai probleme. Decat niste warning-uri.

[kleampa]

e recomandat si if(file_exists())

[crivion]

cel mai bine faci un array cu paginile permise si pui un if(!in_array) daca pagina e diferita de cea permisa bagi un exit() si un refresh

[vectorialpx]

asa cum zice crivion, poti sa faci o listare a directorului [nu e mare lucru, e prim manual] si pui intr-un array toate fisierele tale tale... apoi conditionezi daca se afla in acel array [orice fisier..] ;)

[berliotz]

Multumesc de sugestii tuturor, merge cu array-ul. Cat despre php.ini nu am eu acces la el....

[joe_black]

vectorialpx a scris: asa cum zice crivion, poti sa faci o listare a directorului [nu e mare lucru, e prim manual] si pui intr-un array toate fisierele tale tale... apoi conditionezi daca se afla in acel array [orice fisier..] ;)

procedura inutila

vectorialpx a scris:
cel mai bine faci un array cu paginile permise si pui un if(!in_array) daca pagina e diferita de cea permisa bagi un exit() si un refresh


cand adaugi pagina permisa iara modifici arrayu. probleme pot de kk aparea.

[mihaitha]

joe_black, te rog elaboreaza. De ce ar fi procedura inutila?

[vectorialpx]

vezi ca ultimul paragraf nu-mi apartine... ce ti se pare inutil daca iei fisierele din folder si conditionezi includerea DOAR a lor?

mie mi se pare nefunctionala varianta ta:

$myfile = basename($_GET['page']);
---> ok, iese fisier.php [sau, poate fi html.. de ce nu?]

$myfile = preg_replace('#[^a-zA-Z0-9_\-]#','',$myfile);
---> nu am inteles ideea, daca eu am un fisier cu numele "nume'neconventional asa.php" ce se intampla?

$include_path = $myfile.".php";
---> vei include fisier.php.php

if (is_readable($include_path)) {
--->eu zic ca nu va fi readable...
include ($include_path);
}

ideea mea e ca nu cel ce face site-ul lucreaza cu el... cel ce face site-ul trebuie sa se adapteze tuturor nevoilor, fara a pune clauze de genul "sa nu incluzi fisiere care contin *"

[Amenthes]

@vectorialpx: omul vrea sa automatizeze, ca de asta e programator, nu sa
stea sa puna o noua pagina in array de fiecare data cand mai creeaza inca una. Daca ai fi Yahoo! cam cat de mare ar fi array-ul ala?

E adevarat ca pentru un site-uletz mai mic merge chestia cu array-ul dar daca te complici e bine sa faci refactoring la felul in care incluzi paginile.

Si inca o chestie... tu in $_GET pui numele paginilor cu tot cu extensia de PHP?

[PHPRomania Bot]