[php] Zabezpieczanie include Opcje

[cyberpunx]

Witam!

Posiadam stronkę w której używam skryptu z funkcją include służąca mi do wklejania innych podstron do strony głównej.

Dane przesyłam index.php?id=nazwazmiennej

Jak zabezpieczyć daną funkcję przed korzystaniem z niej przez innych użytkowników (nie wiem dokładnie jak, ale wiem że to możliwe). I dodatkowo jak filtrować zmienne dostarczane przez userów.

Dziękuję za zainteresowanie.

Pozdrawiam.

[PiratNowegoPokol...]

hmmm... czy w praktyce ci takie coś jest potrzebne ?
musiał byś mieć tablicę z listą plików które można zaincludować ... Jeżeli chcesz aby można było includować dowolną stronę ... nie tylko znajdującą się na twoim serwerze to możesz sobie pomarzyć o bezpieczeństwie

[cyberpunx]

w praktyce?

mi to jest bardzo potrzebne, pisze, bo miałem włamania :x

Includowane są tylko i wyłącznie pliki z mojego serwera na zasadzie: jest główna strona po lewej mam menu w którym są odnośniki index.php?id=wklejlink1 i ona się wyświetla w środku głównej strony, linków jest sporo, ale wszystkie odnoszą się do plików znajdujących się na stronie

index.php wyglada tak:

[PHP] pobierz, plaintext 
<? $dane_link = $_GET['id']; 
 
if(($dane_link)==(""))	   
{
include("main.php");
}
else
{
include("$dane_link.php");
}
?>
[PHP] pobierz, plaintext 

Ten post edytował cyberpunx 5.02.2007, 16:28:03

[Cienki1980]

To zrób tak jak powiedział PiratNowegoPokolenia. Stwórz tablicę z plikami na serwerze, które mogą być includowane. A momencie includowania sprawdź czy plik znajduje się w tablicy. Jeżeli tak to wstaw go do includa jeżeli nie to wyświetl inny komunikat.

[cyberpunx]

czy to w pełni zabezpieczy funkcję iclude (pytam i proszę mnie oświecić bo nie zabrdzo wiem, co mogło by się jeszcze stać) znalazłem coś takiego

zabezpieczanie include

[PiratNowegoPokol...]

a to nie lepiej zrobić na stronie głównej frame i z poziomu html takie coś robić ?

[cyberpunx]

nie ponieważ niektóre pliki potrzebują mieć sprawdzone jakie zostały wysłane podstrony i w zależności od tego budują kolorystykę i układ strony... wiem zę tak łatwiej by było, ale nie chodzi mi o przekombinowanie stronki tylko o zabezpieczenie include - dzięki za sugestię...

[PiratNowegoPokol...]

a gdybyś zapisał sobie takie informacje w sesji lub w Cookies ?

[cyberpunx]

masz na myśli to jak strona ma wyglądać odnośnie przesłanego pliku? wolał bym pozostać przy obecnym stanie a jedynie zabezpieczyć jak już pisałem include...

czy ktoś ma jakiś konkretny pomysł odnośnie tego?

[mokry]

Do funkcji sterującej include'owniem plików dodaj sobie, że w nazwie pliku, po zmiennej oprócz ".php" ma być jeszcze jakis inny ciąg znaków... Np:

index.php?pid=strona1 wywołuje plik o nazwie: inc_strona1.include.php

Przy tak skonstruowanej nazwie pliku nikt Ci nic nie podlepi...

[cyberpunx]

ok można zamknąć temat tu jest odpowiedź