Skrypt includowania PHP Opcje

[Mlodycompany]

Witam. Wpadłem znów na genialny pomyśł opracowania skryptu includującego strone. Oto jego Skrypt:

[PHP] pobierz, plaintext 
<?php
$get_name = addslashes($_GET['name']);
$dir = "./";
if(!($fd = opendir($dir)))
exit("Bład");
 
if($get_name != "" && $get_name == $get_name){
while($file = readdir($fd)){
if($get_name == $file){
include($file);
}
}
}
?>
[PHP] pobierz, plaintext 

I teraz zaczoł się problem. A mianowicie. URL wygląda tak :index.php?name=home
zmienna $get_name = home
zmienna $file nie jest równa zmiennej $get_name ponieważ zmienna $file powinna przybrac wartosc home.php a home != home.php

I wpadłem na kolejny genialny pomysł. Oto on: dodac do $get_name koncówke .php i wtedy $get_name bedzie rowna $file. Problem jest w tym, że nie wiem jak można dodac tą końcówkę i czy wogóle się da to zrobic. Czy macie jakieś propozycje??

[pyro]

Witam. Wpadłem znów na genialny pomyśł opracowania skryptu includującego strone. Oto jego Skrypt:

[PHP] pobierz, plaintext 
<?php
$get_name = addslashes($_GET['name']);
$dir = &#092;"./\";
if(!($fd = opendir($dir)))
exit(&#092;"Bład\");
 
if($get_name != &#092;"\" && $get_name == $get_name){
while($file = readdir($fd)){
if($get_name == $file){
include($file);
}
}
}
?>
[PHP] pobierz, plaintext 

I teraz zaczoł się problem. A mianowicie. URL wygląda tak :index.php?name=home
zmienna $get_name = home
zmienna $file nie jest równa zmiennej $get_name ponieważ zmienna $file powinna przybrac wartosc home.php a home != home.php

I wpadłem na kolejny genialny pomysł. Oto on: dodac do $get_name koncówke .php i wtedy $get_name bedzie rowna $file. Problem jest w tym, że nie wiem jak można dodac tą końcówkę i czy wogóle się da to zrobic. Czy macie jakieś propozycje? ?

[PHP] pobierz, plaintext 
<?php
$file = $file.'.php';
?>
[PHP] pobierz, plaintext 

?

[phpion]

Może skorzystaj z tego:

[PHP] pobierz, plaintext 
<?php
$page = (isset($_GET['page'])) ? $_GET['page'] : 'index';
 
$file = './pages/'.$page.'.php';
 
if (file_exists($file)) {
	include($file);
}
else {
	include('./pages/index.php');
}
?>
[PHP] pobierz, plaintext 

Niepotrzebnie babrasz się z addslashes oraz kompletnie niepotrzebnie otwierasz katalog i szukasz w nim konkretnego pliku. Lepiej sprawdzić czy takowy file_exists czyli czy plik_istnieje.

[marcio]

Może skorzystaj z tego:

[PHP] pobierz, plaintext 
<?php
$page = (isset($_GET['page'])) ? $_GET['page'] : 'index';
 
$file = './pages/'.$page.'.php';
 
if (file_exists($file)) {
	include($file);
}
else {
	include('./pages/index.php');
}
?>
[PHP] pobierz, plaintext 

Niepotrzebnie babrasz się z addslashes oraz kompletnie niepotrzebnie otwierasz katalog i szukasz w nim konkretnego pliku. Lepiej sprawdzić czy takowy file_exists czyli czy plik_istnieje.

Jak juz chcesz tak robic to dawaj dozwolone pliki do tablicy i przy includowaniu sprawdzaj czy plik znajduje sie w tablicy bo to jest przyklad fajnego LFI a jak nie zrobc na switch'u

[phpion]

Jak juz chcesz tak robic to dawaj dozwolone pliki do tablicy i przy includowaniu sprawdzaj czy plik znajduje sie w tablicy bo to jest przyklad fajnego LFI a jak nie zrobc na switch'u

Racja. Ale w sumie wystarczy przelecieć $_GET['page'] funkcją basename() i już uniemożliwisz wyjście poza wskazany katalog. Szkoda babrać się z tablicami czy switchami.

[Mlodycompany]

ale mi własnie chodzilo o to aby includowalo plik ktory znajduje sie na serwerze. bo mozna zrobic tez cos takiego jak
<?php
include(''.$get_name.'.php');
?>
ale wtedy mozna zrobic cos takiego
index.php?name=http://forum.php.pl/index i wtedy zaincluduje to forum. a dopisywanie do tablicy jest monotonne.

[phpion]

Polecam lekturę mojej poprzedniej wypowiedzi.

[marcio]

Może skorzystaj z tego:

[PHP] pobierz, plaintext 
<?php
$page = (isset($_GET['page'])) ? $_GET['page'] : 'index';
 
$file = './pages/'.$page.'.php';
 
if (file_exists($file)) {
	include($file);
}
else {
	include('./pages/index.php');
}
?>
[PHP] pobierz, plaintext 

Niepotrzebnie babrasz się z addslashes oraz kompletnie niepotrzebnie otwierasz katalog i szukasz w nim konkretnego pliku. Lepiej sprawdzić czy takowy file_exists czyli czy plik_istnieje.

Polecam lekturę mojej poprzedniej wypowiedzi.

Chodzi o to ze tam tez jest LFI przeciez sprawdzasz czy jaki kolwiek plik ktory sie poda do get'a jest na servie miec mozna includowac wszystko etc/passwd/ i czasami ladujac pliki php sa fajne efekty albo robi sie petla podczac include etc albo przy fyckjach plikowych widac zrodlo

Ten post edytował marcio 15.04.2008, 22:45:53

[phpion]

Chodzi o to ze tam tez jest LFI przeciez sprawdzasz czy jaki kolwiek plik ktory sie poda do get'a jest na servie miec mozna includowac wszystko etc/passwd/ i czasami ladujac pliki php sa fajne efekty albo robi sie petla podczac include etc albo przy fyckjach plikowych widac zrodlo

Pozwolę zacytować sam siebie:

Racja. Ale w sumie wystarczy przelecieć $_GET['page'] funkcją basename() i już uniemożliwisz wyjście poza wskazany katalog. Szkoda babrać się z tablicami czy switchami.

I po sprawie. basename()" title="Zobacz w manualu PHP" target="_manual zwróci ostatni człon ścieżki podanej w adresie więc kombinacje typu /etc/passwd czy ../../etc/passwd nie przejdą, bo będzie szukany plik ./pages/passwd.php

[Babcia@Stefa]

Niewiem po co tyle kombinowania.

[PHP] pobierz, plaintext 
<?php
$page = addslashes($_GET['page']);
if(is_file('pages/' .$page. '.php') AND !empty($page))
@include('pages/' .$page. '.php');
else
include('404-not-found.html');
?>
[PHP] pobierz, plaintext 

Pozdrawiam

[Sedziwoj]

Niewiem po co tyle kombinowania.

[PHP] pobierz, plaintext 
<?php
$page = addslashes($_GET['page']);
if(is_file('pages/' .$page. '.php') AND !empty($page))
@include('pages/' .$page. '.php');
else
include('404-not-found.html');
?>
[PHP] pobierz, plaintext 

Pozdrawiam

Czy czytasz ze zrozumieniem?

[Babcia@Stefa]

Czy czytasz ze zrozumieniem?

Tak, czytam.

Jak masz pisać takie bezsensowne posty które nic nie wnoszą do tematu, to nie pisz ich.

@topic
Mlodycompany, Twój pomysł jest świetny w pewnym stopniu, to znaczy:

1. Można go przerobić tak aby na stronie błędów (404) było wyszukiwanie strony pokrewnej - to znaczy "Czy chodziło Ci o ...".
To jest jeden z dobrych pomysłów, widziałem już kiedyś coś takiego ale nie myślałem aby napisać to..

Do tego można użyć levenshteina i będzie dobrze :]

Pozdrawiam.

Ten post edytował Babcia@Stefa 16.04.2008, 14:54:09

[Sedziwoj]

Tak, czytam.

Ale nie widzisz, że masz dziury w skrypcie, które były już wymienione.

[marcio]

Tak, czytam.

Jak masz pisać takie bezsensowne posty które nic nie wnoszą do tematu, to nie pisz ich.

@topic
Mlodycompany, Twój pomysł jest świetny w pewnym stopniu, to znaczy:

1. Można go przerobić tak aby na stronie błędów (404) było wyszukiwanie strony pokrewnej - to znaczy "Czy chodziło Ci o ...".
To jest jeden z dobrych pomysłów, widziałem już kiedyś coś takiego ale nie myślałem aby napisać to..

Do tego można użyć levenshteina i będzie dobrze :]

Pozdrawiam.

Ale nie widzisz, że masz dziury w skrypcie, które były już wymienione.

@Babcia@Stefa bez obrazy ale jak nie wiesz to sam nie pisz ale zdaje mi sie basename() nie zalatwia sprawy w 100% bo mozna miec w tym samym katalogu wszystkie inne pliki php tak jak ja to mam i wtedy co?Wiec wole uzywa if'y/switch albo dac tablice i in_array() + file_exists i system bledow lub cos

[Sedziwoj]

@marcio
Po co tworzyć listę, stwórz sobie klasę abstrakcyjną akcji, i każda akcja musi po niej dziedziczyć, więc przekazujesz tylko nazwy obiektów (czy jakąś część), i sprawdzasz czy klasa istnieje i czy dziedziczy po action ;] A najlepiej mieć to połączone z konkretną lokalizacją plików akcji, aby burdelu nie było.

[marcio]

Heh nie znam sie na OOP wiec nie dam rady tego napisc ale idea jest obra moze pokazalbys jak ty to robisz bo do tej pory ja tak to robilem jak napisalem wczesniej i wszystko dobrze i bezpiecznie dzialalo ale moze bylo lamersko napisane

[Sedziwoj]

Heh nie znam sie na OOP wiec nie dam rady tego napisc ale idea jest obra moze pokazalbys jak ty to robisz bo do tej pory ja tak to robilem jak napisalem wczesniej i wszystko dobrze i bezpiecznie dzialalo ale moze bylo lamersko napisane

Wiesz, skoro działa i wystarcza, to znaczy że dobrze, nie wiem dlaczego miało by być "lamersko".

Ale możesz coś w tym stylu:

[PHP] pobierz, plaintext 
<?php
interface IAction {
   public function run();
}
?>
[PHP] pobierz, plaintext 

a w głównym kontlorerze:

[PHP] pobierz, plaintext 
<?php
if( !ctype_alfnum( $_GET['action'] ){
   //Not found
}
$strClassName = 'prefix' . $_GET['action'];
if( class_exists( $strClassName ) ){
   $objAction = new $strClassName();
   if( $objAction instanceof IAction ){
	  $objAction->run();
   }
}
?>
[PHP] pobierz, plaintext 

W tym przypadku przydaje się autoloader dobrze napisany, aby ładował akcje sam.
Oczywiście co przekazujesz do akcji, czy akcja jest tylko interfejsem (lepiej nie), czy też jest abstrakcyjna, to potem ułatwia, masz pewne rzeczy z głowy. Np. jak chcesz autoryzacje, taką prostszą to może wystarczyć
UserFactory::gerAuth()->mustLevel( iUserAuth::ADMIN );

Lub po prostu odpowiednie dziedziczenie, po abstrakcji z autoryzacją i zaimplementowanie odpowiedniej metody...
Sposobów jest wiele, ale obiektowe podejście wiele rzeczy ułatwia jak się dobrze zrobi.

[Mlodycompany]

Zauważyłem, że mój temat wyjawnił u was dużo zapału do odpowiadania, ale także do kłutni. Może napisze do czego dąże. Chciałbym miec skrypt aby includował strone tylko z serwera, a nie z innego serwera. Może dacie mi gotowca i bedzie po sprawie

[phpion]

@Mlodycompany:
Mało ci gotowców w tym jednym poście?

[Mlodycompany]

He he. Powiem tak. Przygodę z PHP zaczołem niedawno więc nie wiem który jest najlepszy, więc proszę was o wybranie najlepszego z tych