Witam,
Mam takie pytanie. Ponieważ wszyscy mówią, że niebezpiecznie jest includować plik z GET'a, ale ja wpadłem na pomysł żeby nazwy plików były szyfrowane w md5 i GET także bez żadnych innych zabezpieczeń. Czy jest to dobre rozwiązanie czy niekoniecznie.

Nie jestem expertem, ale myślę, że to genialne. Osoba nie będzie miała dostępu do "normalnych" plików, tylko tylko do tych których nazwa jest zmieniona przez MD5. Ale i tak chyba trzeba filtrować dane od użytkownika, żeby nie wstrzyknął kodu który wykona dodatkowo coś innego.

No to bedziesz miał cholernie przyjazne urle...
Jest wiele innych rozwiązań opartych np o modrewrite i proste filtrowanie danych w urlu. To nie jest takie trudne.

Ja myślałem o czymś takim:
kod strony....

[PHP] pobierz, plaintext 
if (file_exists('./'.md5($_GET["adres"]).'.php'))
{
include('./'.md5($_GET["adres"]).'.php');
}
else
{
include('./cos.php');
}
[PHP] pobierz, plaintext 

i mam normalnie index.php?adres=podstrona
albo moge zastosować mod_rewrite, ale co o tym sądzicie?

@julek12 słabe

[PHP] pobierz, plaintext 
echo md5( 'plik.php' );
[PHP] pobierz, plaintext 

Według mnie to jest żadne zabezpieczenie tym bardziej że md5 został złamany i jak już to sha256.

a skąd masz takie informacje?? mógłbyś podać źródło bo jest to ciekawe...
co do zabezpieczenia geta są 2 opcje:
1.

[PHP] pobierz, plaintext 
$_GET['strona']=st_replace('..','_',$_GET['strona']);
include('./katalog_ze_skryptami/'.$_GET['strona'].'.php');
[PHP] pobierz, plaintext 

tu zabezpieczenie polega na tym że wtedy unikasz zmiany katalogu na inny niż wskazany i dołączania plików poprzez http://
2.

[PHP] pobierz, plaintext 
switch($_GET['strona']){
case 'jakas_strona':
include('./katalog_ze_stronami/jakas_strona.php');
break;
default:
include('./katalog_ze_stronami/podana_strona_nie_jest_dozwolona.php');
break;
}
[PHP] pobierz, plaintext 

tu używasz switcha, który dopuszcza na includoiwanie tylko plików przez Ciebie dozwolonych, w przypadku próby oszukania systemu zostanie dołączony plik podany w warunku default:
można także użyć tablicy plików dozwolonych, czyli metoda 3:

[PHP] pobierz, plaintext 
$dozwolone_strony = array('dozwolona_strona','dozwolona_strona2');
if(in_array($_GET['strona'],$dozwolone_strony)){
include('./katalog_ze_stronami/'.$_GET['strona'].'.php');
}
[PHP] pobierz, plaintext 

osobiście polecam zawsze, dla zachowania porządku umieszczać wszystkie pliki do dołączenia w jednym katalogu, żeby na serwerze był porządek, czyli tak jak w przykładach /katalog_ze_stronami
a co do Twojej metody z md5, to trochę to zrobi bałaganu na serwerze z nazwami plików (po prostu przy 100 możliwych plikach do dołączenia odnalezienie właściwego będzie graniczyć z cudem), a są duuużo prostsze metody skutecznie zabezpieczające stronę, jak w moim poście przeczytałeś

To są tylko moje rozważania ja sam mam takie zabezpieczenie:

[PHP] pobierz, plaintext 
							<?php
							if (file_exists('./includes/szablon/podstrony/'.trim(strip_tags(basename($_GET["adres"]))).'.php'))
							{
								include('./includes/szablon/podstrony/'.trim(strip_tags(basename($_GET["adres"]))).'.php');
							}
							else
							{
								include('./includes/szablon/podstrony/news.php');
							}
							?>
[PHP] pobierz, plaintext 

Się czyta prasę kolorową.
http://www.md5crack.com/crackmd5.php proszę bardzo hasło dla gógla to "md5 cracker"