witam
chciałbym zrobić określanie podstrony(dodawanej przez include) na podstawie wartości z $_POST, czyli nic innego jak pięknie wyglądające: include $_POST[$param];
no i tutaj kwestia zabezpieczenia przed możliwością zhaksowania, czy to przez zaincludowanie swojego php, itp...
na razie zrobiłem to tak:
[...]
if(!empty($_GET[$page]))
{
if(stripos($_GET[$page],'http://')!==FALSE ||
stripos($_GET[$page],'https://')!==FALSE ||
stripos($_GET[$page],'ssl://')!==FALSE ||
stripos($_GET[$page],'ftp://')!==FALSE ||
stripos($_GET[$page],'ftps://')!==FALSE ||
stripos($_GET[$page],'php://')!==FALSE)
echo 'Wykryto niedozwolone ciągi znaków';
[...]
blokując w parametrze podanie rzeczy typu index.php?=page=http://swójphp.php
na co jeszcze należy zwrócić uwagę, aby zrobić "bezpieczny include"?