Forum PHP.pl

Od zawsze zastanawiała mnie sprawa - na ile to możliwe - bezpiecznego includowania/wyświetlania includowanych plików. Czy takie rozwiązanie wydaje się Wam bezpiecznym:

[PHP] pobierz, plaintext 
$dostepne_strony = array('info','szukaj');
if(isset($_GET['pokaz'])) {
    $pokaz = $_GET['pokaz'];
} else {
    $pokaz='';
}
if(!in_array($pokaz,$dostepne_strony)) $pokaz=$dostepne_strony[0];
if(file_exists($pokaz.'.php')) include($pokaz.'.php');
else echo '<p>brak strony do wyświetlenia</p>';
?>
[PHP] pobierz, plaintext 

no właśnie - jak bezpiecznie includować pliki? Trzeba/należy używać DEFINE, czy może ten sposób wystarczy?
Zapraszam do dyskusji.

Ten post edytował mos 17.06.2011, 08:59:13

Jest to bezpieczne, bo sprawdzasz czy dany plik istnieje, nie mniej jednak przydałoby się jeszcze oczyścić wprowadzone dane z $_GET, koniecznie.

Z kolei jeśli chodzi o tablicę z nazwami, to musiałbyś ją aktualizować cały czas albo skorzystać z glob.

żebyśmy mieli jasność - akurat (jak dla mnie) nie trzeba tłumaczyć co znaczy kod, ale dzięki za dokładność - może przyda się innym! ;-)
natomiast chciałbym wiedzieć czy można zastosować tu jakiś hak etc. :-)
co do tablicy nazw - to owszem, faktycznie. Można tutaj zastosować jakieś zmiany - zmienne nadawane z np. panelu administracyjnego

includowane pliki znajdują się na serwerze, więc ty masz nad nimi kontrolę.

Domyśle nie można includować plików z innych serwerów, z powodów bezpieczeństwa

allow_url_fopen

http://www.php.net/manual/en/filesystem.co...allow-url-fopen

Reszta bezpieczeństwa zależy od skryptu - im prostszy, tym mniejsza szansa (IMG:style_emoticons/default/wink.gif)

@up myślę że nawet jak wykręcisz skrypt formatu chińskiej armii to jak dokładnie przefiltrujesz dane jesteś bezpieczny , tylko za każdym razem sprawdzaj czy to co otrzymujesz od użytkownika jest tym co chcesz (preg_match , is_num itd) osobiście ja używam głównie preg match'a bo wszystko można sobie w regex'ie 'wybrać' łatwiutko .

ano tak powinno być, natomiast z racji, że przesyłane jest to - w tym przypadku - GET'em, zastanawiam się, czy nie ma jakiegoś sposobu na zatrucie tego kodu, np przez zatrucie URL'a. Jest niby tablica w której dozwolone strony są sprawdzane, ale mimo to, chciałem zapytać Was o zdanie :-)

@up

Jest sposób "na zatrucie" wszystkiego, nawet silnika php na serwerze

nie chodzi mi tu o ekstrema. Byłem ciekaw czy coś przeoczyłem.
Tak na marginesie najistotniejsze są dla mnie - a i sądzę że dla kogoś kto zainteresuje się tym tematem - konstruktywne odpowiedzi - co zrobić, żeby było jak ma być + np. funkcja która może temu pomóc ;-)