[PHP]Filtrowanie danych : / Opcje

[porywacz]

Witam, napisałem stronę ze skryptem na includach. A dokładniej to ten skrypt sprawdza czy istnieje zmienna w tablicy get o nazwie 'subtopic' oraz czy ta zmienna zawiera na przykład 'kody'. Jeżeli warunki zostaną spełnione to skrypt includuje treść z pliku include_kody.php i wyświetla zawartość na stronie. Moje pytanie jest następujące, czy ten skrypt jest bezpieczny? Jak filtrować dane wyciągane z tablicy get?
SKRYPT:

[PHP] pobierz, plaintext 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
        "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
<head>
<title>xCheats - Home</title>
<meta http-equiv="Content-Type" content="html/text" charset=utf-8" />
<link rel="Stylesheet" type="text/css" href="style.css"/>
</head>
<body>
<?php
	include('header_include.php');
?>
 
<div id="center">
	<div id="center_left"></div>
	<div id="center_center">
		<p style="margin:15px;">
 
			<?php
				if(!isset($_GET['subtopic'])) {
					include('home_include.php');
				} elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'kody') {
					include('sub_kody.php');
				} elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'dodaj_kody') {
					include('sub_dodajkody.php');
				} elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'szukaj_kody') {
					include('sub_szukajkody.php');
				} elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'onas') {
					include('sub_onas.php');
				} elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'kontakt') {
					include('sub_kontakt.php');
				} elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'rejestracja') {
					include('rejestracja_include.php');
				}
			?>
 
		</p>
	</div>	
 
<?php
	include('menu_right_include.php');
	include('footer_include.php');
?>
</body>
</html>
[PHP] pobierz, plaintext 

I nie chodzi mi tylko o ten skrypt. Chciałbym dowiedzieć się więcej na temat bezpieczeństwa, więc proszę o linki do poradników, tutów itd na temat jak stosować ten tak zwany escaping ^^
Bardzo proszę o pomoc (IMG:style_emoticons/default/smile.gif) Dodam też, że dopiero od niedawna interesuje się programowaniem w php, więc proszę o dość "przejrzyste" odpowiedzi (IMG:style_emoticons/default/smile.gif)

Ten post edytował porywacz 31.03.2012, 10:04:32

[tolomei]

Witaj.

Przy warunkach if ... elseif ... elseif zostanie wykonany ten blok poleceń, który jako pierwszy będzie prawidłowy, a reszta zostanie pominięta.
Tak więc, gdy Twoja zmienna $_GET['subtopic'] będzie istniała to zostanie wykonany pierwszy blok if, a reszta pominięta.
Mówiąc jeszcze prościej - Twoje elseif-y nie wykonają się nigdy.

Co do ładowania podstron - jest to bezpieczne w takim formacie.
Niestety nie jest to zbyt wydajne - wyobraź sobie 1000 podstron w Twoim serwisie.

Możesz utworzyć automatyczne ładowanie plików.
W takim wypadku trzeba porządnie filtrować zmienną, z której pobiera się dane pliku do includowania.

Przykład:

[PHP] pobierz, plaintext 
if(isset($_GET['subtopic'])) {
    // odfiltrowujemy wszystko co nie jest wielką/małą literą(bez polskich znaków), cyfrą lub podkreślnikiem
    $subtopic = preg_replace('#\W#', '', $_GET['subtopic']);
    if(file_exists('sites/'.$subtopic.'.php')) {
        include('sites/'.$subtopic.'.php');
    } else {
        include('sites/index.php');
    }
}
[PHP] pobierz, plaintext 

Pozdrawiam.