[php] bezpieczny: include $_POST[$par];

witam
chciałbym zrobić określanie podstrony(dodawanej przez include) na podstawie wartości z $_POST, czyli nic innego jak pięknie wyglądające: include $_POST[$param];

no i tutaj kwestia zabezpieczenia przed możliwością zhaksowania, czy to przez zaincludowanie swojego php, itp...

na razie zrobiłem to tak:

[...]
if(!empty($_GET[$page]))
      {
        if(stripos($_GET[$page],'http://')!==FALSE ||
          stripos($_GET[$page],'https://')!==FALSE ||
          stripos($_GET[$page],'ssl://')!==FALSE ||
          stripos($_GET[$page],'ftp://')!==FALSE ||
          stripos($_GET[$page],'ftps://')!==FALSE ||
          stripos($_GET[$page],'php://')!==FALSE)
          echo 'Wykryto niedozwolone ciągi znaków';
[...]

blokując w parametrze podanie rzeczy typu index.php?=page=http://swójphp.php
na co jeszcze należy zwrócić uwagę, aby zrobić "bezpieczny include"?

Na pliki szczegolnie interesujace, np. config.php, config.xml (tak, to drugie sie po prostu wklei...).

Najlepiej bedzie jak wrzucisz pliki, ktore moga byc includowane do jakiegos katalogu, gdzie beda TYLKO takie pliki. Includowac bedziesz tylko z niego i wtedy wystarczy jeszcze sprawdzac czy dany plik istnieje.

Może to Ci pomoże...

http://www.webtips.pl/post3899.html
http://webmade.org/porady/include-includowanie-php.php

Liczba odpowiedzi na stronę

[php] bezpieczny: include $_POST[$par];

1 użytkowników online, w tym zalogowanych: 0, gości: 1

Praca dla programistów

Forum dyskusyjne

Sprawy administracyjne

O nas

Skontaktuj się z nami