[PHP]GETowy miniCMS Opcje

[debian]

Witam

[PHP] pobierz, plaintext 
<?php 
 $dir = 'newsy/';
 $more = 'newsy/wiecej/';
 
 include('naglowek.php');
 
 if (empty($_GET['strona'])) readfile($dir.'index.php');
 else
 {
  if (is_file($dir.$_GET['strona'].'.php')) readfile($dir.$_GET['strona'].'.php');
  else readfile($dir.'blad.php');
 }
 
 include('stopka.php');
 
?>
[PHP] pobierz, plaintext 

Ten skrypcik umieszczony w index.php działa tak. w katalogu newsy robimy plik z treścią newsa o nazwie nazwa.php i po wybraniu index.php?strona=nazwa pokazuje nam treść tego newsa między nagłówkiem strony a jego stopką. Jest to wygodne dość jak i staroświeckie.
Moje pytanie brzmi, co dopisać by po wpisaniu index.php?strona=nazwa&more=nazwa wyświetlił tylko tekst nazwa.php z katalogu newsy/wiecej bo prubowałem coś ale pokazuje i tekst z newsy/nazwa.php a pod spodem newsy/more/nazwa.php

[erix]

Jest to wygodne dość jak i staroświeckie.

Dobrze, że jesteś choć samokrytyczny. http://serwer/skrypt/index.php?strona=../../etc/passwd i co?

i tekst z newsy/nazwa.php a pod spodem newsy/more/nazwa.php

Dopisz kolejny warunek.

[debian]

Dobrze, że jesteś choć samokrytyczny. http://serwer/skrypt/index.php?strona=../../etc/passwd i co?

I nic... index.php?strona= w skrypcie przeciez widac ze mozna odczytywac tylko z katalogu newsy/ poza tym nie ma praw do wyświetlenia tego pliku.

Dopisz kolejny warunek.

Wiesz sam bym na to nie wpadł -,-"
A tak serio to pisałem ale pewnie źle bo nie działało poprawnie dlatego proszę o waszą pomoc.

[pyro]

I nic... index.php?strona= w skrypcie przeciez widac ze mozna odczytywac tylko z katalogu

Ślepyś? Według Ciebie ten skrypt pozwala czytać tylko z katalogu "newsy"?

// EDIT

Daj linka do tej stronki to ci chętnie opisze problem.

Ten post edytował pyro 23.12.2008, 14:09:03

[debian]

Ślepyś? Według Ciebie ten skrypt pozwala czytać tylko z katalogu "newsy"?

// EDIT

Daj linka do tej stronki to ci chętnie opisze problem.

Prubowałem sam index.php?strona=../../../ bleble /etc/passwd i nie czyta pliku. Nawet jeśli podaje prawidłowe drzewo katalogów.

To jak można to zrobić bezpiecznie? :|

[skowron-line]

Prubowałem sam index.php?strona=../../../ bleble /etc/passwd i nie czyta pliku. Nawet jeśli podaje prawidłowe drzewo katalogów.

To jak można to zrobić bezpiecznie? :|

http://www.sjp.pl/pr%F3bowa%B3em
*sorry za OT

Ten post edytował skowron-line 23.12.2008, 14:16:30

[debian]

http://www.sjp.pl/pr%F3bowa%B3em
*sorry za OT

Lubisz nabijać posty prawda? ;] Jak nie masz nic szczególnego do powiedzenia to sie nie udzielaj prosze w moim temacie.

[_olo_1984]

np. tak:

stwórz sobie tablicę

[PHP] pobierz, plaintext 
<?php
$strony = array('dupa','krzysiek','chyzy');
?>
[PHP] pobierz, plaintext 

sprawdzaj czy to co przesyłasz getem jest w tablicy

[PHP] pobierz, plaintext 
<?php
if(in_array($_GET['strona'], $strony))
{
  // jakies tam dodatkowe rzeczy  + na koniec podłączasz strone
  include(DIR.$_GET['strona'].'.php');
}
else
{
 // generuje stosowny błąd
 
}
?>
[PHP] pobierz, plaintext 

to tylko pomysł

Ten post edytował _olo_1984 23.12.2008, 14:30:24

[WebKing]

[PHP] pobierz, plaintext 
<?php
$pages = array("nazwa", "nazwa_1", "nazwa_2");
 
if(in_array($_GET["page"], $pages)) {
    if (isset($_GET["more"])) {
        include("newsy/more/".$_GET["more"].".php");
    } else {
        include("newsy/".$_GET["page"].".php");
    }
} else {
    echo "Brak podanej strony";
}
?>
[PHP] pobierz, plaintext 

Proszę

Ten post edytował WebKing 23.12.2008, 14:41:56

[debian]

[PHP] pobierz, plaintext 
<?php
$pages = array(&#092;"nazwa\", \"nazwa_1\", \"nazwa_2\");
 
if(in_array($_GET[&#092;"page\"], $pages)) {
    if (isset($_GET[&#092;"more\"])) {
        include(&#092;"newsy/more/\".$_GET[\"more\"].\".php\");
    } else {
        include(&#092;"newsy/\".$_GET[\"page\"].\".php\");
    }
} else {
    echo &#092;"Brak podanej strony\";
}
?>
[PHP] pobierz, plaintext 

Proszę

Oooo Dziękuje Bardzo o takie coś mi chodziło ^^, Dzięki raz jeszcze Pozdro

[decha-design]

lub też korzystaj z basename" title="Zobacz w manualu PHP" target="_manual