Na sojej stronie mam listę rozwijaną z odniesieniem do innego pliku przez funkcję include:

[HTML] pobierz, plaintext 
<script LANGUAGE="JavaScript"> 
function selecturl(s) { 
var gourl = s.options[s.selectedIndex].value; window.top.location.href = gourl; 
} 
</SCRIPT><FORM> 
<SELECT NAME="urljump" OnChange="selecturl(this)"> 
<?php include("lista.htm"); ?> 
</SELECT> 
</FORM>
[HTML] pobierz, plaintext 

A w pliku lista.htm:

[HTML] pobierz, plaintext 
<OPTION VALUE="1.php">1</OPTION> 
<OPTION VALUE="2.php">2</OPTION> 
<OPTION VALUE="3.php">3</OPTION> 
<OPTION VALUE="4.php">4</OPTION>
[HTML] pobierz, plaintext 

Na innym forum dowiedziałem się że "że w ten sposób można mi załadować do ramki dowolny adres". Jednak nie do końca zrozumiałem. Chodzi o to czy kod jest zrobiony w sposób bezpieczny i nic mi nie grozi?

Nie wiem o jaką ramkę chodzi, bo żadnej nie widzę, ale skrypt nie wydaje się bezpieczny. Możesz to oczywiście olac pod warunkiem, że częśc serwerowa aplikacji będzie dobrze zabezpieczona.

A co należy zrobić aby skrypt był bezpieczny?

Sam JavaScript jest odwrotnie proporcjonalnie bezpieczny do umiejętności przeciętnego webmastera. Faktycznie, można pokusic się o takie fake strony, żeby np. zmieniał adresy stron. Nie jestem specjalistą od zabezpieczeń JavaScript, więc nie bardzo mogę powiedziec Ci, jak zabezpieczyc ten skrypt. Dla mnie sprawa jest prosta jesli chodzi o zabezpieczenie tego na serwerze za pomocą php. Tobie zapewne chodzi o to, aby uniemożliwic komuś podmianę Twoich stron, na które chcesz przekierowac odwiedzającego - o to, trzeba zapytac kogoś od JavaScriptu

Nie podoba mi się plik, który includujesz. Jest on typu *.htm, co nie jest dobrym rozwiązaniem. Lepiej ukryj zawartośc tego pliku w zmiennej php. Wówczas podgląd pliku nie będzie możliwy w przeglądarce. Poza tym plik .htm przez niektóre serwery są traktowane jako pliki zawierające kod do przetworzenia i dłużej się wczytują. Moim zdaniem, powinieneś ola ten JavaScript i skupic się na odpowiedniej kontroli przy pomocy php na serwerze bo jest to pewniejsze.

Wielkie Dzięki!

Ja bym najpierw sprawdził czy istnieje ten plik na twoim serwsze/dysku/katalogu poprzez file_exists a potem includował. Mozesz tez zrobić include z katalogu wyzej poprzez include(./blablabla.html) ( tak mi sie wydaje )
Ale myśle ze wystarczy z tym file_exists ^^

A mógłbyś mi trochę opisać ten file_exists . A przy okazji: Która wersja php jest bezpieczniejsza i lepsza i dlaczego? - 5 czy 4

Sry mój błąd w powyższym poscie instrukcja ./ pozwala na dołącznie plikow tylko z katalogu w którym sie znajduje się skrypt.



Tutaj link do opisu
http://www.faq.pl/php/html/function.file-exists.html

php5 jest bezpieczniejsze od php4, co wynika z tego, że jest nowszą wersją języka, więc więcej błędów zdążyli chłopaki usunąć. Samo bezpieczeństwo stron www jest jednak przedewszystkim zależne od serwera www. Nawet najlepiej zabezpieczona aplikacja padnie, jeśli serwer nie jest bezpieczny.

A po czym najlepiej sprawdzić bezpieczenstwo serwera? Co musi miec, czego nie itp.

No wiesz... Wątpię, żeby jakiś administrator udzialał informacji na temat zabezpieczeń jego serwera

Nie jego serwera Mojego serwera wykupionego w ofercie jakiejs firmy np. home.pl , nazwa.pl

No to jego serwer, przecież chyba nie wykupiłeś serwerowni home

No w sumie... Dzięki, już zrozumiałem