[PHP] Pomysł, pytanie czy to ma sens :), od początkującego Opcje

[Drav]

Witam. Otóż wpadłem sobie na pomysł, aby zrobić moją stronę możliwie najlepiej przystosowaną do zmian i w tym celu utworzyć plik główny index.php, i on byłby główną "podporą" całej strony tzn cały lay + menu i pusty środek.
Do owego pustego środka ładowałyby się strony z samym tekstem za pomocą takiegoż linku

[HTML] pobierz, plaintext 
< a href="adresstrrony.pl/index.php?strona=newsy">....</a>
[HTML] pobierz, plaintext 

następnie skrypt

[PHP] pobierz, plaintext 
<?php
 include"strony/newsy.php";
if ($strona='newsy') {
 include"strony/newsy.php"; }
itd... ?>
[PHP] pobierz, plaintext 

Interesuje mnie czy po ładowaniu tychże stron działałby skrypt (tzn czy podliczałby wszystkich gości na stronie neizależnie od tego co zostało załadowane funkcją include (wydaje mi się, ze tak, ale upewnić się nie zaszkodzi)

[PHP] pobierz, plaintext 
<?php
$polaczenie=mysql_connect('x','x','x')
    or die('Nieudane połączenie z bazą danych...');
 
mysql_select_db('x')
    or die('Nieudane wybranie bazy danych...');
    
$czas=mktime();
$ip=$_SERVER['REMOTE_ADDR'];
$staryczas=mktime()-120;
 
 
$zapytanie=mysql_query("DELETE FROM online WHERE czas<'$staryczas'");
 
$link=mysql_query("SELECT ip FROM online WHERE ip='$ip'");
$ile=mysql_num_rows($link);
 
if($ile==0)
    {
    mysql_query("INSERT INTO online VALUES(NULL,'$ip','$czas')");
    }
else
    {
    mysql_query("UPDATE online SET czas='$czas' WHERE ip='$ip'");
    }
$link=mysql_query("SELECT * FROM online");
$ile=mysql_num_rows($link);
$max=file('max.txt');
if($ile>$max[0])
    {
    $plik=fopen('max.txt',w);
    flock($plik,2);
    fputs($plik,$ile);
    flock($plik,3);
    fclose($plik);
    }
 
echo 'Gości online: '.$ile.', ';
echo 'najwięcej osób online: '.$max[0].'';
?>
[PHP] pobierz, plaintext 

i czy takie rozwiązanie ma w ogóle jakikolwiek sens.

Jestem całkowicie poczatkujący w php, więc jesli coś robie źle to chciałbym wiedziec co dokładnie i jak powinno to poprawnie wyglądać.

[bobo168]

Ma to jakiś sens sam czasami korzystam z takiego rozwiązania jest bardzo wygodne... Ale tutaj masz bardziej uniwersalny kod:

[PHP] pobierz, plaintext 
<?php
if (!isset($_GET['strona'])) {
    $_GET['site'] = 'plik ze strona glowna';
}
include ($_GET['strona'].'.php');
}
?>
[PHP] pobierz, plaintext 

A czy skrypt będzie działał no powinien (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Najlepiej sprawdź i tyle..

[Zyx]

Tak, super-uniwersalny... index.php?strona=index i życzę miłego dnia. Rozwiązania tego typu i owszem, stosuje się w całkiem sporej liczbie projektów, ale umieszczenie tak prymitywnego kodu bez żadnych zabezpieczeń to wręcz zaproszenie złośliwych do włamania bądź rozwalenia strony.

Drav -> zapakuj poszczególne akcje, jakie wykonuje strona, do jednego katalogu, pliki bibliotek itd. czyli wszystko, co powinno wykonywać się na większej ilości podstron, do innych katalogów. Następnie przy ładowaniu sprawdź zmienną $_GET['strona'] czy jak ją tam chcesz nazwać i przepuść ją przez następujący filtr:

1. Jej długość musi mieścić się w określonym przedziale.
2. Musi zawierać wyłącznie znaki alfanumeryczne, tj. litery alfabetu łacińskiego, cyfry i ew. podkreślenia.
3. W szczególności, nie może zawierać znaków ../, ukośników ani kropek.
4. Budujesz z tego nazwę pliku i sprawdzasz, czy plik istnieje. Jeśli tak, ładujesz go, jeśli nie, ładujesz coś predefiniowanego.

Bez tych zabezpieczeń taki skrypt zamieni się w eksplorator kodu Twojej strony i może Ci niesamowicie nabruździć.

[ignas1987]

Wydaje mi się, że ilość filtrów nie musi być aż taka... wystarczy instrukcja if file_exists() - jeżeli plik istnieje to includuje stronę... jeżeli nie... to wstawiasz echo('<font size="20" color="red">NO I CZEGO KOMBINUJESZ HAKIERZE!!</font>'); (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) :D:D ja tak mam (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

Wracając do Gości on-line... powiem tak... słyszałem że jeżeli includuje się plik ze skryptem gości on-line, licznik może nie działać poprawnie... Ja znalazłem na to sposób. Mianowicie w index.php mam stałe elementy, i w jednym z nich można wstawic ten kod bezpośrednio. NIE INCLUDOWAĆ tego skryptu.

Ten post edytował ignas1987 15.05.2009, 07:53:30

[osl]

to podaj adres strony (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
Zyx słusznie mówi, najmniejsza luka w takim includowaniu pliku może potem zaowocować "cudami" na Twojej stronie...

[ignas1987]

hmmmm...
Taka sytuacja:
Ktoś wpisuje w zmienną $_GET[strona] np. kontakt... skrypt dodający tą część strony wygląda następująco:

[PHP] pobierz, plaintext 
<?php 
$strona = $_GET[strona];
include("page/$strona");
?>
[PHP] pobierz, plaintext 

Jeżeli będzie to kontakt to includuje kontakt jeżeli nie to nic nie powinien zrobić. I teraz jeżeli wstawie jakąś funkcje czy skrypt w tą zmienną to ona g... zrobi. Oczywiście to wersja na szybko, bo w pracy jestem i nie moge pisać ;P

Ten post edytował ignas1987 15.05.2009, 08:05:13

[osl]

w wolnej chwili poczytaj sobie o LFI/RFI (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[Wicepsik]

Skrypt kolegi który zrobił dla mojej strony ;]

[PHP] pobierz, plaintext 
<?php
if (!empty($_GET['menu'])) {
        $name = urldecode($_GET['menu']);
        $reg = '/^[a-zA-Z0-9]+$/'; 
        if (preg_match($reg, $name)) {
            if (file_exists('strony/'.$name.'.php')) {
                include('strony/'.$name.'.php');
            }else{
                echo '<center>Plik nie istnieje!</center>';
            }
        }else{
            echo 'Niedozwolone znaki w nazwie pliku';
        }
    }else{
        include('strony/news.php');
    }
?>
[PHP] pobierz, plaintext 

[ignas1987]

w wolnej chwili poczytaj sobie o LFI/RFI (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

hehehe (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Dobre THNX!! (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
hmm... ale z drugiej strony ja mam zabezpieczone include("page/$strona") z tego co wyczytałem to te sposoby działają tylko jeżeli masz skrypt includujący i stronę includowaną w katalogu głównym strony... ale ogólnie jeszcze tego nie znam więc może ktoś mi to wytłumaczy na pw.

Ten post edytował ignas1987 15.05.2009, 08:30:57

[Zyx]

ignas1987 -> załóżmy, że Twój skrypt, co podałeś, nazywa się "index.php". Teraz ja robię: index.php?strona=../index.php i również życzę miłego dnia, bo Twoje genialne zabezpieczenie najwyraźniej nie zadziałało. Wydawać wydaje Ci się źle, i to bardzo. Większa ilość filtrów jest niezbędna.

Ten post edytował Zyx 15.05.2009, 09:10:42

[ignas1987]

Ups... we wcześniejszym poście nie napisałem że skrypt sprawdza czy dany plik $strona.php istnieje... jeżeli nie to nie includuje tylko wypisuje tekst np. "No i czego kombinujesz" ;P (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) więc jeżeli zmienna ma jakąś inną wartość tzn. nazwę niż pliki w folderze to wydaje mi się że nie będzie kłopotu

[slewin]

widzę ,że trafiłem na dość interesującą dyskusję . Ja mam pytanie tego typu jak bym zrobił standardową instrukcję

[PHP] pobierz, plaintext 
<?php
switch ($_GET['operator'])
{
    case 2: 
        include("informacje.php"); 
        break;
    case 3: 
        include("./strony/kontakt.php"); 
        break;
...itd
default:
        include("cos_tam.php");
}
.
?>
[PHP] pobierz, plaintext 

. Czy też taki skrypt jest podatny na ataki ,szkodliwe modyfikacje ... oraz czy jak użyje modrewrite do maskowania czy coś się zmieni (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

[Gryf]

Przecież Zyx już ci podał ../ <-- katalog wyżej ;]

[sowiq]

@ignas1987,
zapoznaj się najpierw z tym.

[ignas1987]

ok... u mnie ten sposób ataku raczej nie zadziała Moja strona co prawda dopiero się buduje, ale możecie sprawdzić czy ten atak działa (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) ale dobrze, że to wyszło, bo teraz wiadomo czego unikać (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[slewin]

@ignas1987,
zapoznaj się najpierw z tym.

Ja też się z tym zapoznałem i dalej tego nie rozumie (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) LFI (Local File Include) czyli ktoś wczytuje na stronę plik
który nie był dla niego przeznaczony. Sprawdzam u siebie na stronie i nie widzę efektu , tylko taki że ładuje mi domyślną strone za każdym razem gdy próbuje wywołać coś innego . Specjalnie zrobiłęm katalog hasla/haslo_do_ftp.txt wpisuje index.php?operator=../hasla/haslo_do_ftp.txt i nic się nie dzieje (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)
O co chodzi z tym LFI . Ten gość pisze gdy mamy "magic_quotes_gpc = Off" oraz "register_globals = On" to jestem podatny na ataki a gdy ja ma ustawione to na On i na Off to taki atak jest niemożliwy (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

Ten post edytował slewin 15.05.2009, 09:53:07

[Drav]

chciałbym wiedzieć jak to rozwiązanie ma się do wyszukiwarek, tzn czy informacje includowane na np stronie ?strona=nowe będą uwzględniane jako cała strona (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)