Forum PHP.pl

Mam taki problem, próbowałem to napisać ale mi nie wychodziło wiec proszę Was o pomoc.

Jak zrobić skrypt który pobiera z _GET'a nazwe np. artykuly sprawdza czy plik istnieje jak nie to przypisuje mu news
i includuje go na koncu ...

probowałem robić coś na wzór cms webspell ale mi nie wychodziło:

[PHP] pobierz, plaintext 
<?
	  if(!isset($site)) $site="news";
	  $invalide = array('/','//',':','.');
	  $site = str_replace($invalide,' ',$site);
	  if(!file_exists($site.".php")) $site = "news";
	  include($site.".php");
	  ?>
[PHP] pobierz, plaintext 

myslę że:

[PHP] pobierz, plaintext 
<?php
$invalide = array('/','//',':','.');
	  $site = str_replace($invalide,' ',$site);
?>
[PHP] pobierz, plaintext 

są zbędne ale to tylko moje przypuszczenia - jestem początkujący (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)


jak by ktoś miał chęć i czas pomóc ... to nawet jeśli nie skrypt to w ptk. oc musze zrobić bo próbowałem na parę sposobów i nic...

[PHP] pobierz, plaintext 
<?php
$strona = $_GET['strona'];
 
if(file_exist($strona.'.php'){
include($strona.'.php');
else{
include('news.php');
}
?>
[PHP] pobierz, plaintext 

zabezpieczasz sobie jeszcze przed wpisaniem zlych znaków i wsio

a jakie znaki moga zagrozic stronie?

"/" i "\".

Najbezpieczniej zamiast $strona przy file_exists" title="Zobacz w manualu PHP" target="_manual dać basename" title="Zobacz w manualu PHP" target="_manual.

\/. ale warto filtrowac wszystkie dane wejsciowe

Ten post edytował xbigos 16.04.2008, 15:41:40