[PHP] Includowanie - bezpieczeństwo Opcje

[LExy]

Witam

Odrazu napisze, ze kompletnie sie na tym nie znam.

Przeglądnelem forum w sprawie bezpieczenstwa includowania itp. ale nie moge tego wszystkie pojąć :/

Problem polega na tym, ze pewna osoba wrzuca sobie co chce do moich plików, które są includowane.
Najwyrazniej "profesjonalista" który robił mi ta strone zabardzo sie nie zna na bezpiecznym kodzie.

Wszystkie pliki includowane(22), znajduja sie w katalogu: incl

Tak jest zapisany kod (do wszystkich plików) na mojej stronie index.php:

<?php

include("incl/nazwa_pliku.php");

?>

Czy znalazla by się dobra dusza, która by pomogla i napisala mi jak ma poprawnie/bezpiecznie wyglądac ten kod

Jesli trzeba więcej informacji na temat strony to prosze pisac.

Dziekuje
LExy

Ten post edytował LExy 26.05.2008, 10:40:05

[Shili]

Ja mam jedno pytanie? Czy osoba include'ująca pliki musi mieć dostęp do kodu php, mysql, js czy czegokolwiek innego czy chodzi o samą treść?

[Pilsener]

pewna osoba wrzuca sobie co chce do moich plików, które są includowane

- idę o zakład, że to pewnie ulubione menu krejzoli od PHP:

[PHP] pobierz, plaintext 
<?php
$plik = $_GET['plik'];
include($plik);
?>
[PHP] pobierz, plaintext 

- zdumiewająco często można to spotkać, kiedyś nawet się zastanawialiśmy (przy piwku), skąd się to w ogóle wzieło...

Jedyna rada to przebudować całkowicie skrypt.

P.S > chyba, że ktoś ma dostęp przez ftp lub panel admina do tych plików, co raczej wątpliwe.

Ten post edytował Pilsener 26.05.2008, 13:55:58

[#luq]

Musaiłbyś w bazie zrobić tabelę z polami ID oraz Page gdzie bedziesz zapisywać adres strony np. incl/nazwa_pliku.php i ID (auto_increment) i odwoływać się do ID czyli do integera a nie do stringa.

Potem wystaczy dać tylko intval($_GET['id']) i jest bezpiecznie.

[pyro]

LExy, moze daj kod zamiast czekać na wróżkę?