Include Opcje

[konrado]

Na sojej stronie mam listę rozwijaną z odniesieniem do innego pliku przez funkcję include:

[HTML] pobierz, plaintext 
<script LANGUAGE="JavaScript"> 
function selecturl(s) { 
var gourl = s.options[s.selectedIndex].value; window.top.location.href = gourl; 
} 
</SCRIPT><FORM> 
<SELECT NAME="urljump" OnChange="selecturl(this)"> 
<?php include("lista.htm"); ?> 
</SELECT> 
</FORM>
[HTML] pobierz, plaintext 

A w pliku lista.htm:

[HTML] pobierz, plaintext 
<OPTION VALUE="1.php">1</OPTION> 
<OPTION VALUE="2.php">2</OPTION> 
<OPTION VALUE="3.php">3</OPTION> 
<OPTION VALUE="4.php">4</OPTION>
[HTML] pobierz, plaintext 

Na innym forum dowiedziałem się że "że w ten sposób można mi załadować do ramki dowolny adres". Jednak nie do końca zrozumiałem. Chodzi o to czy kod jest zrobiony w sposób bezpieczny i nic mi nie grozi?

[Cysiaczek]

Sam JavaScript jest odwrotnie proporcjonalnie bezpieczny do umiejętności przeciętnego webmastera. Faktycznie, można pokusic się o takie fake strony, żeby np. zmieniał adresy stron. Nie jestem specjalistą od zabezpieczeń JavaScript, więc nie bardzo mogę powiedziec Ci, jak zabezpieczyc ten skrypt. Dla mnie sprawa jest prosta jesli chodzi o zabezpieczenie tego na serwerze za pomocą php. Tobie zapewne chodzi o to, aby uniemożliwic komuś podmianę Twoich stron, na które chcesz przekierowac odwiedzającego - o to, trzeba zapytac kogoś od JavaScriptu

Nie podoba mi się plik, który includujesz. Jest on typu *.htm, co nie jest dobrym rozwiązaniem. Lepiej ukryj zawartośc tego pliku w zmiennej php. Wówczas podgląd pliku nie będzie możliwy w przeglądarce. Poza tym plik .htm przez niektóre serwery są traktowane jako pliki zawierające kod do przetworzenia i dłużej się wczytują. Moim zdaniem, powinieneś ola ten JavaScript i skupic się na odpowiedniej kontroli przy pomocy php na serwerze bo jest to pewniejsze.