Bezpieczenstwo serwisu Opcje

[-Gość_Adam-]

Witam, robie serwis i zaczalem sie zastanawiac czy jest on bezpieczny i dlatego mam dwa pytania.

1. Bezpieczeństwo includowanych plików,
robie to tak:

[PHP] pobierz, plaintext 
<?php
 
$page = $_GET['go'];
if ($page) {
	if (file_exists($page.'.php')) {
		include(basename($page.'.php'));
	}
	else include 'start.php';
}
else include 'start.php';
 
?>
[PHP] pobierz, plaintext 

Niepokoi mnie jedna rzecz, normalnie to po kliknieciu w jakis link adres będzie wyglądał tak: www.serwer.pl/index.php?go=strona. Wszystko ładnie pięknie, ale jak ktoś wpisze po prostu www.serwer.pl/strona.php?

Chcialbym zeby te includowane pliki gzdies schowac, zeby nie mozna bylo ich ogladac tylko includować.


2. Bezpieczeństwo logowania,
logowanie wygląda u mnie tak:

Formularz logowania ---- POST ----> Laczy sie z baza i sprawdza czy istnieje taki login i hasło ---------------> jeżeli tak to tworzy zmienną $_SESSION['zalogowany'] = 1;

Potem na każdej stronie jest sprawdzana wartośc tej zmiennej, jeżeli jest inna od 1 to pokazywany jest błąd o wylogowaniu.

Bezpieczne? Pewnie nie, dlatego proszę o rady.