[PHP]Prośba o pomoc w zmianie kodu Opcje

[eMCe]

Witam, mam problem z moją stroną. Używam takiego kodu

[PHP] pobierz, plaintext 
 
$rozsz=".html"; 
if(file_exists("contents/$nazwa$rozsz"))
{
   include("contents/$nazwa$rozsz"); 
} 
else 
{ 
    include("contents/index$rozsz");
} 
[PHP] pobierz, plaintext 

Okazało się, że funkcja include nie jest bezpieczna. Próbuję zmienić to ze switch/case ale chyba nie umiem

[PHP] pobierz, plaintext 
$rozsz=".html"; 
switch ($_GET[show]) 
{
case '$nazwa': 
	include('contents/$nazwa$rozsz');
	break;
default:
	include('contents/index.html');
}
[PHP] pobierz, plaintext 

Adresy powinny się wyświetlać jako
www.adres.strny.pl/index.php?show=nazwa, gdzie nazwa jest plikiem w katalogu contents (wywoływanym w zależności od tego na jaką stronę chcę wejść, plików w contents mam około 80). Całą stronę mam tak zbudowaną, ale zwrócono mi uwagę, że są włamania przez funkcję include.

[Kshyhoo]

W każdym kursie opisana jest sprawa inkludowania plików poprzez funkcję switch, a w lepszych poruszona kwestia bezpieczeństwa... że nie wspomnę o szukajce na forum!

[eMCe]

A nie możesz mi pomóc zmienić tego kodu? Naprawdę nie wiem co w nim jest nie tak.

Wiem, że jak wstawię

[PHP] pobierz, plaintext 
switch ($_GET[show]) 
{
case 'koty': include("contents/koty.html"); break;
default: include('contents/index.html');
}
[PHP] pobierz, plaintext 

To wszystko działa dobrze. Ale czy nie da się tak, że zamiast koty jest nazwa wywoływana w przeglądarce? Tzn. nie chcę na sztywno wpisywać koty, tylko jak kliknę adres www.ades.pl/index.php?show=psy to wyciągnie mi z katalogu contents plik psy.html, a jak adres z inną końcówką to wyciągnie mi inny plik. Nie wiem czy jasno określam o co mi chodzi...

[Belze]

samo Twoje podejście do tematu nie jest zbyt bezpieczne, więc sama funkcja switch nie poprawi jej.

[PHP] pobierz, plaintext 
$strony = array('psy', 'koty', 'konie');
$strona = (int) $_GET['akcja'];
$plik = "moduly/{$strony[$strona]}.inc.php";
if (file_exists($plik)) {
include $plik;
} else {
include 'moduly/default.inc.php';
}
[PHP] pobierz, plaintext 

w arrayu dodajesz pliki ktore maja byc includowane.
jezeli tego nie zrobisz, a nie bedziesz mial "default" to poprzez adres kazdy bedzie mogl uruchomic dowolny kod php. a to jest niezbyt bezpieczne..

Ten post edytował Belze 1.06.2010, 07:28:21

[zend]

Możesz np wrzucic pliki które chcesz załadować do jednego katalogu, i zamienić wrzystkie "dziwne" znaki z get'a typu . / ; na puste znaki, ale tu uwaga, weź też pod uwagę że ktoś może zapisać je w innym systemie np szesnastkowym.
Możesz też nadać plikom specyficzny prefix, tak aby jedyne co można było załadować to pliki wyznaczone do tego np abecadlo.index.php, możesz też połączyć obie metody

[eMCe]

Hej, dzięki za podpowiedzi. Próbuję tak zrobić. Jednak za każdym razem jakikolwiek adres wpiszę wyrzuca mi pierwszy plik z array. Nie wiem dlaczego. Pewnie coś źle wpisuję.

[zend]

Pierwszy plik, czy domyślny plik? W sposobie który podał Belze odwołujesz się tak index.php?akcja=2. Zeby pisać index.php?akcja=kot mussz tak to zapisać

[PHP] pobierz, plaintext 
$array = array('kot' => 'kot' , 'pies' => 'pies');
[PHP] pobierz, plaintext 

Ten post edytował zend 1.06.2010, 17:35:14

[eMCe]

Pierwszy plik. Dziękuję - działa. A to (int) to niezbędne? Bo z tym to nie działa

Ten post edytował eMCe 1.06.2010, 17:49:46

[Belze]

wklej kod i wymien przykladowe linki to powiemy Ci gdzie lezy blad