[PHP] include z $_GET Opcje

[desavil]

Witam.
Zastanawiam się, czy to co robię jest bezpieczne dla mojego serwisu:

[PHP] pobierz, plaintext 
<?php
$get_page = $_GET['page'];
if(!empty($get_page) && preg_match('/^[0-9a-zA-Z\-]*$/i', $get_page) && file_exists('pages/'.$get_page.'.php')){ require('pages/'.$get_page.'.php'); }else{ require('pages/index.php'); }
?>
[PHP] pobierz, plaintext 

Czy już samo preg_match gwarantuje duże bezpieczeństo? Jak z niego wnioskuję nic oprócz podanych znaków/zakresów znaków nie przejdzie, czyli wprowadzenie w $_GET adresu URL, czy też próba wyjścia przed katalog pages (GET=../plik) będzie nie możliwe, gdyż są tam znaczniki które nie przejdą (/ , : .).
Dobrze myślę, czy się mylę? A może muszę jeszcze $get_page przepuścić przez htmlspecialchars, itp?

Tak samo z dodawaniem do bazy, jeżeli dane przejdą przez takiego preg_match'a to nie ma prawa wykonać się żaden sql injection, gdyż nie wprowadzi potencjalny włamywacz znaków, np. = ' " ` itp?

Pozdrawiam!

Ten post edytował desavil 6.03.2012, 08:53:01