Witam, napisałem stronę ze skryptem na includach. A dokładniej to ten skrypt sprawdza czy istnieje zmienna w tablicy get o nazwie 'subtopic' oraz czy ta zmienna zawiera na przykład 'kody'. Jeżeli warunki zostaną spełnione to skrypt includuje treść z pliku include_kody.php i wyświetla zawartość na stronie. Moje pytanie jest następujące, czy ten skrypt jest bezpieczny? Jak filtrować dane wyciągane z tablicy get?
SKRYPT:

[PHP] pobierz, plaintext 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
        "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
<head>
<title>xCheats - Home</title>
<meta http-equiv="Content-Type" content="html/text" charset=utf-8" />
<link rel="Stylesheet" type="text/css" href="style.css"/>
</head>
<body>
<?php
	include('header_include.php');
?>
 
<div id="center">
	<div id="center_left"></div>
	<div id="center_center">
		<p style="margin:15px;">
 
			<?php
				if(!isset($_GET['subtopic'])) {
					include('home_include.php');
				} elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'kody') {
					include('sub_kody.php');
				} elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'dodaj_kody') {
					include('sub_dodajkody.php');
				} elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'szukaj_kody') {
					include('sub_szukajkody.php');
				} elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'onas') {
					include('sub_onas.php');
				} elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'kontakt') {
					include('sub_kontakt.php');
				} elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'rejestracja') {
					include('rejestracja_include.php');
				}
			?>
 
		</p>
	</div>	
 
<?php
	include('menu_right_include.php');
	include('footer_include.php');
?>
</body>
</html>
[PHP] pobierz, plaintext 

I nie chodzi mi tylko o ten skrypt. Chciałbym dowiedzieć się więcej na temat bezpieczeństwa, więc proszę o linki do poradników, tutów itd na temat jak stosować ten tak zwany escaping ^^
Bardzo proszę o pomoc Dodam też, że dopiero od niedawna interesuje się programowaniem w php, więc proszę o dość "przejrzyste" odpowiedzi

Witaj.

Przy warunkach if ... elseif ... elseif zostanie wykonany ten blok poleceń, który jako pierwszy będzie prawidłowy, a reszta zostanie pominięta.
Tak więc, gdy Twoja zmienna $_GET['subtopic'] będzie istniała to zostanie wykonany pierwszy blok if, a reszta pominięta.
Mówiąc jeszcze prościej - Twoje elseif-y nie wykonają się nigdy.

Co do ładowania podstron - jest to bezpieczne w takim formacie.
Niestety nie jest to zbyt wydajne - wyobraź sobie 1000 podstron w Twoim serwisie.

Możesz utworzyć automatyczne ładowanie plików.
W takim wypadku trzeba porządnie filtrować zmienną, z której pobiera się dane pliku do includowania.

Przykład:

[PHP] pobierz, plaintext 
if(isset($_GET['subtopic'])) {
    // odfiltrowujemy wszystko co nie jest wielką/małą literą(bez polskich znaków), cyfrą lub podkreślnikiem
    $subtopic = preg_replace('#\W#', '', $_GET['subtopic']);
    if(file_exists('sites/'.$subtopic.'.php')) {
        include('sites/'.$subtopic.'.php');
    } else {
        include('sites/index.php');
    }
}
[PHP] pobierz, plaintext 

Pozdrawiam.

Nie rozumiem czemu moje elseify się niby mają nie wykonać?
link do zakodowanej strony: www.porywacz.onuse.pl/czitypl/index.php
Wszystko działa jak należy. W linkach w menu dodałem do adresu poszczególne nazwy zmiennych na przykład www.porywacz.onuse.pl/czitypl/index.php?subtopic=kody i wszystko działa jak należy.
Pisałem ten skrypt więc chyba wiem jak działają elseif D
Co do twojego skryptu nie wiele rozumiem ale poduczę się jeszcze php i poczytam trochę o funkcjach, które przedstawiłeś. Jeżeli mój sposób jest w miarę bezpieczny i poprawny to dziękuję za pomoc
Przydałby się jeszcze jakiś poradnik jak filtrować dane pobierane i zapisywane z bazy danych, bo jest to chyba najbardziej podatne na ataki sql injection. Wielokrotnie pytałem już wujka google lecz niczego nie znalazłem ;(
Pozdrawiam

To coś się nie dogadujecie chyba z wujkiem: "php sql injection prevention", "php zabezpieczenie przed sql injection"

Och... nie zauważyłem negacji w pierwszym warunku - mój błąd

Jak pytałeś wujka i nic Ci nie powiedział to chyba musi szczególnie Cię nie lubić.
O SQL Injection jest wiele wiele artykułów.

http://www.poradnik-webmastera.com/artykul...l_injection.php
http://4programmers.net/PHP/Ochrona_przed_...tion_-_podstawy
http://niebezpiecznik.pl/post/przewodnik-p...eveloperow-php/ <-- prezentacja

Poczytaj także o XSS. Wujek prawdę Ci powie(prawie zawsze) .

W takim razie bardzo dziękuję za pomoc
Temat można już zamknąć, chyba, że ktoś jeszcze chce się podzielić ze mną istotnymi informacjami

Aha i jeszcze mam jeden mały problem U mnie wyświetla polskie znaki a u innych nie O Znaczy nie wiem czy u wszystkich ale paru kolegom nie wyświetla
Nie wiem co może być nie tak, kodowanie jest ustawione na utf-8 ;/

Trzeba pamiętać o formacie zapisu pliku.
Plik powinien także mieć kodowanie utf-8.
Najlepiej ściągnąć Notepad++ i tam ustawić kodowanie na "UTF8 bez BOM".
Windowsowy notatnik zapisze plik w formie ANSI co powoduje krzaczki.