[PHP] Mało kodożerny sposób na index.php?id=X - jak ? Opcje

[kiler129]

A wiec mam dylemat natury takiej że nie wiem jak bezpiecznie includować przez get (IMG:http://forum.php.pl/style_emoticons/default/dry.gif) Widziałem już sporo stron na ktorych było index.php?id=plik.php - aż się prosi o skasowanie strony (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
Ale do zeczy, mianowicie teraz mam podobny problem, jak to zrobic ale bezpiecznie i tak aby nie zajmowało 3 cyfrowej liczby linijek kody (IMG:http://forum.php.pl/style_emoticons/default/laugh.gif)
Najproście ro chyba tak:

[PHP] pobierz, plaintext 
<?php
$id = $_GET['id'];
 
if($id == 1)
{
include 'plik1.php';
}
 
if($id == 2)
{
include 'plik2.php';
}
 
if($id == 3)
{
include 'plik1.php';
}
?>
[PHP] pobierz, plaintext 

Ale w takim układzie spooro lini kodu przybędzie a co za tym idzie szybkość spadnie i przy sporej liczbie odwiedzających może być już kiepsko - przykładem jest np. seriws elektroda.pl który w godzinach szcytu potrafi miec czas wykonani skryptu ponad 30 sekund !
Drugim mankamentem tego kodu jest że tutaj trudno sprawdzić czy taki id istnieje, nie chce dopuścić do sytłacji gdzie użytkownik z powodu braku pliku dostaje całą stronę błędów ....

Pomyślałem że można też tak:

[PHP] pobierz, plaintext 
<?php
$id = $_GET['id'];
$plik = ./$id;
 
 
if (is_readable($plik)) 
{
   include $plik.'.php';
} 
else 
{
   echo 'Dokument o podanym ID nie istanieje ! Jeśli zaprowadził Cie tutaj któryś z linków na stronie skontaktuj się z administratorem.';
}
?>
[PHP] pobierz, plaintext 

Tylko teraz czy ten sposób jest naprawde bezpieczny ? No niby jest ./ ale jakoś ja mam talent do pisania skryptów które łątwo wykrzaczyć (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)



p.s. Powyższych kodów nie sprawdzałem ale powinny działać.


*/*/*/*EDIT*\*\*\*
Drugi kod był błedny (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) I już umiem go shackowac (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Wystarczyło napisać index.php?id=index i pokazywał sie index.php.
Aż starch pomyśleć => index.php?id=../../pwd (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
Ale dobra mnijsza o to, poprawiłem go i wygląda tak:

[PHP] pobierz, plaintext 
<?
$id = $_GET['id'];
$plik = './doc_'.$id.'.php';
 
 
if (is_readable($plik)) 
{
   include $plik;
} 
else 
{
   echo 'Dokument o podanym ID nie istanieje ! Jeśli zaprowadził Cie tutaj któryś z linków na stronie skontaktuj się z administratorem.';
}
?>
[PHP] pobierz, plaintext 

Więc teraz nie da się jako id podać index bo nie ma czegos takeigo jak doc_index.php, pilnowac tylko trzeba żeby żaden dokument php nie miał nazwy zaczynającej się na doc_.
Czy teraz skrypt jest bezpieczy ?

Ten post edytował kiler129 21.03.2007, 13:22:21

[tansky]

Jeśli dobrze zrozumiałem przedmówcę...

[PHP] pobierz, plaintext 
<?php
 
if ($_GET['id']) {
$zezwalaj = array (	// w tej tablicy zapisujesz sobie powiazania id / plik
"1" => "logowanie",
"2" => "artykuly",
"3" => "forum"
);
 
$id = $_GET['id'];
$path = 'resources/';	// ścieżka do includowanych plików
 
$asked = $path.$zezwalaj[$id].'.php';
 
if (array_key_exists($id, $zezwalaj) && file_exists($asked)) include ($asked);
}
?>
[PHP] pobierz, plaintext 

Pisane na szybko z ręki, więc może coś być nie tak.

Ten post edytował tansky 21.03.2007, 23:09:11