[PHP] Mało kodożerny sposób na index.php?id=X - jak ? Opcje

[kiler129]

A wiec mam dylemat natury takiej że nie wiem jak bezpiecznie includować przez get (IMG:http://forum.php.pl/style_emoticons/default/dry.gif) Widziałem już sporo stron na ktorych było index.php?id=plik.php - aż się prosi o skasowanie strony (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
Ale do zeczy, mianowicie teraz mam podobny problem, jak to zrobic ale bezpiecznie i tak aby nie zajmowało 3 cyfrowej liczby linijek kody (IMG:http://forum.php.pl/style_emoticons/default/laugh.gif)
Najproście ro chyba tak:

[PHP] pobierz, plaintext 
<?php
$id = $_GET['id'];
 
if($id == 1)
{
include 'plik1.php';
}
 
if($id == 2)
{
include 'plik2.php';
}
 
if($id == 3)
{
include 'plik1.php';
}
?>
[PHP] pobierz, plaintext 

Ale w takim układzie spooro lini kodu przybędzie a co za tym idzie szybkość spadnie i przy sporej liczbie odwiedzających może być już kiepsko - przykładem jest np. seriws elektroda.pl który w godzinach szcytu potrafi miec czas wykonani skryptu ponad 30 sekund !
Drugim mankamentem tego kodu jest że tutaj trudno sprawdzić czy taki id istnieje, nie chce dopuścić do sytłacji gdzie użytkownik z powodu braku pliku dostaje całą stronę błędów ....

Pomyślałem że można też tak:

[PHP] pobierz, plaintext 
<?php
$id = $_GET['id'];
$plik = ./$id;
 
 
if (is_readable($plik)) 
{
   include $plik.'.php';
} 
else 
{
   echo 'Dokument o podanym ID nie istanieje ! Jeśli zaprowadził Cie tutaj któryś z linków na stronie skontaktuj się z administratorem.';
}
?>
[PHP] pobierz, plaintext 

Tylko teraz czy ten sposób jest naprawde bezpieczny ? No niby jest ./ ale jakoś ja mam talent do pisania skryptów które łątwo wykrzaczyć (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)



p.s. Powyższych kodów nie sprawdzałem ale powinny działać.


*/*/*/*EDIT*\*\*\*
Drugi kod był błedny (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) I już umiem go shackowac (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Wystarczyło napisać index.php?id=index i pokazywał sie index.php.
Aż starch pomyśleć => index.php?id=../../pwd (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
Ale dobra mnijsza o to, poprawiłem go i wygląda tak:

[PHP] pobierz, plaintext 
<?
$id = $_GET['id'];
$plik = './doc_'.$id.'.php';
 
 
if (is_readable($plik)) 
{
   include $plik;
} 
else 
{
   echo 'Dokument o podanym ID nie istanieje ! Jeśli zaprowadził Cie tutaj któryś z linków na stronie skontaktuj się z administratorem.';
}
?>
[PHP] pobierz, plaintext 

Więc teraz nie da się jako id podać index bo nie ma czegos takeigo jak doc_index.php, pilnowac tylko trzeba żeby żaden dokument php nie miał nazwy zaczynającej się na doc_.
Czy teraz skrypt jest bezpieczy ?

Ten post edytował kiler129 21.03.2007, 13:22:21

[kiler129]

Wszystko ok tylko niech ktos mi powie dlaczego ten kod nie działa:

[PHP] pobierz, plaintext 
<?
 
if(count($_GET) == 1)
{
   if (isset($_GET['id'])) 
   {
   $tablica = array (	
   "1" => "logowanie",
   "2" => "artykuly",
   "3" => "forum"
   );
   $id = (int)$_GET['id']; 
   $path = './resources/'; 
   $asked = $path.$tablica[$id].'.php';
   if (array_key_exists($id, $tablica) && file_exists($asked)) include ($asked);
   }
   else
   {
   echo 'Dokument o podanym ID nie istnieje';
   }
}
else
{
$tresc = 'wstep';
}
 
?>
[PHP] pobierz, plaintext 

Tzn. działa ale po padaniu id np. 6718234239843 skrypt poprostu nic nie wytświetla zamista pokazac błąd o braku takiego id - co jest ?
Napewno gdzies jest błąd ale ja go nie widze ;P