Помогите закрыть дыру в php

Светлана Корнеева

Guest

Это нравится:0 Да/0 Нет

25.11.2006 21:11:03

Скажите пожалуйста, что нужно сделать, чтобы через req нельзя было смотреть другие файлы, лежащие на сервере?

Код

<?php if (empty ($req)) { $req="1.php"; } include("$req"); ?>

...

<td><a href=index.php?req=1.php><img src="button/1-1.gif" alt="" border="0"
 onMouseOver="this.src='button/2-1.gif';"
 onMouseOut="this.src='button/1-1.gif';"></a></td>
...

logos

Guest

Это нравится:0 Да/0 Нет

26.11.2006 17:35:09

В вашем случае самым простым будет:

index.php?req=1:

Код
<?php if (empty ($req)) { $req="1.php"; } else { $req=intval($req).".php";} if(is_file($req)) include("$req"); else echo 'Такой страницы нет'; ?>

Stierus Guest	#3 Это нравится:0 Да/0 Нет 29.11.2006 13:09:10 тут нельзя удалять свои сообщения что ли ?

Dezmont

Guest

Это нравится:0 Да/0 Нет

30.11.2006 10:12:40

Цитата
Stierus пишет: тут нельзя удалять свои сообщения что ли ?

Нет!!!

Razor энтузиаст Сообщений: 87 Баллов: 88 Регистрация: 28.01.2006	#5 Это нравится:0 Да/0 Нет 01.12.2006 20:27:30 Также, на всякий случай, следует указать open_basedir в конфигурации PHP, чтобы избежать инклуд-атак.

MiHoY

Guest

Это нравится:0 Да/0 Нет

12.12.2006 08:27:57

вот так правильно это делать

Код

<?php 
$req  = ''; //обнуляем
$reg = $_GET['reg']; // берём значение из гет запроса


   if($reg!='') //если не пустое
   {
      $reg = basename($_mod); // оставляем только базовое имя 
      if(file_exists($reg )){    // если файл существует
         include($reg ); // подключаем
      }else{
         Header('Location: error?code=404'); // иначе ошибка 404
      }

   }
   else
   {   
      include("1.php"); // если пустое
   } 

?>

s1b

Guest

Это нравится:0 Да/0 Нет

12.12.2006 10:53:01

Цитата
Светлана Корнеева пишет: Скажите пожалуйста, что нужно сделать, чтобы через req нельзя было смотреть другие файлы, лежащие на сервере? <?php if (empty ($req)) { $req="1.php"; } include("$req"); ?>

А может лучше просто так не делать? Или если запрос уже примерно известен можно попробовать так:

switch ($req) {
case 'news': require 'news.php'; break;
case 'about': require 'about.php'; break;
case default: require 'news.php'; break;
}

Вообщем всё от ситуации зависит

p-range Guest	#8 Это нравится:0 Да/0 Нет 27.12.2006 10:20:24 Думаю можно так сделать: if (!empty($_GET['page'])) { $page = $_GET['page']; } else { $page = 'main'; } Switch ($page) { case 'main': echo 'main'; break; case 'test': echo 'test'; break; }

s1b

Guest

Это нравится:0 Да/0 Нет

27.12.2006 11:00:24

Цитата
p-range пишет: Думаю можно так сделать:

Ты прежде чем думать - читай сообщения выше!

ParLaMenToz

Guest

#10

Это нравится:0 Да/0 Нет

09.01.2007 01:32:29

еще вариант использовать перед всеми подключаемыми файлами какойлибо префикс чтоб инклуд выглядел вот так

include ("yourprefix_".$_GET['req']);

но если подключаемых страниц немного можно использовать и switch

Stierus Guest	#11 Это нравится:0 Да/0 Нет 10.01.2007 16:57:28 скрипт Logos'a нормально работает и не требует, ни допольнительных префикс в именах ( там идёт перевод в численную переменную, все переходы по директориям исключены, подходят только числовые названия файлов ... все названия с текстом приравниваются к 0 ... 0.php можно зарезервировать на случай ошибки ) MiHoY , ты видел что бы уточнялась версия сервера php ? ... Далеко не во всех старых версиях есть этот массив, так что твой коммент не актуален ( хоть сейчас и следовало бы сделать именно так ). s1b , для 3-х страниц - подойдёт, хоть вариант будет и хуже чем первый, а представь 10 000 case_ов ? p-range ... дурдом полный ps Первый вариант с минимальными исправлениями под конкретные нужды - лучшее из всего написанного, автору топика стоит посмотреть именно туда.

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?