Witam!
Posiadam stronkę w której używam skryptu z funkcją include służąca mi do wklejania innych podstron do strony głównej.
Dane przesyłam index.php?id=nazwazmiennej
Jak zabezpieczyć daną funkcję przed korzystaniem z niej przez innych użytkowników (nie wiem dokładnie jak, ale wiem że to możliwe). I dodatkowo jak filtrować zmienne dostarczane przez userów.
Dziękuję za zainteresowanie.
Pozdrawiam.
Pełna wersja: [php] Zabezpieczanie include
hmmm... czy w praktyce ci takie coś jest potrzebne ?
musiał byś mieć tablicę z listą plików które można zaincludować ... Jeżeli chcesz aby można było includować dowolną stronę ... nie tylko znajdującą się na twoim serwerze to możesz sobie pomarzyć o bezpieczeństwie
musiał byś mieć tablicę z listą plików które można zaincludować ... Jeżeli chcesz aby można było includować dowolną stronę ... nie tylko znajdującą się na twoim serwerze to możesz sobie pomarzyć o bezpieczeństwie
w praktyce?
mi to jest bardzo potrzebne, pisze, bo miałem włamania :x
Includowane są tylko i wyłącznie pliki z mojego serwera na zasadzie: jest główna strona po lewej mam menu w którym są odnośniki index.php?id=wklejlink1 i ona się wyświetla w środku głównej strony, linków jest sporo, ale wszystkie odnoszą się do plików znajdujących się na stronie
index.php wyglada tak:
mi to jest bardzo potrzebne, pisze, bo miałem włamania :x
Includowane są tylko i wyłącznie pliki z mojego serwera na zasadzie: jest główna strona po lewej mam menu w którym są odnośniki index.php?id=wklejlink1 i ona się wyświetla w środku głównej strony, linków jest sporo, ale wszystkie odnoszą się do plików znajdujących się na stronie
index.php wyglada tak:
To zrób tak jak powiedział PiratNowegoPokolenia. Stwórz tablicę z plikami na serwerze, które mogą być includowane. A momencie includowania sprawdź czy plik znajduje się w tablicy. Jeżeli tak to wstaw go do includa jeżeli nie to wyświetl inny komunikat.
czy to w pełni zabezpieczy funkcję iclude (pytam i proszę mnie oświecić bo nie zabrdzo wiem, co mogło by się jeszcze stać) znalazłem coś takiego
zabezpieczanie include
zabezpieczanie include
a to nie lepiej zrobić na stronie głównej frame i z poziomu html takie coś robić ?
nie ponieważ niektóre pliki potrzebują mieć sprawdzone jakie zostały wysłane podstrony i w zależności od tego budują kolorystykę i układ strony... 
wiem zę tak łatwiej by było, ale nie chodzi mi o przekombinowanie stronki tylko o zabezpieczenie include - dzięki za sugestię...
wiem zę tak łatwiej by było, ale nie chodzi mi o przekombinowanie stronki tylko o zabezpieczenie include - dzięki za sugestię...
a gdybyś zapisał sobie takie informacje w sesji lub w Cookies ?
masz na myśli to jak strona ma wyglądać odnośnie przesłanego pliku? wolał bym pozostać przy obecnym stanie a jedynie zabezpieczyć jak już pisałem include...
czy ktoś ma jakiś konkretny pomysł odnośnie tego?
czy ktoś ma jakiś konkretny pomysł odnośnie tego?
Do funkcji sterującej include'owniem plików dodaj sobie, że w nazwie pliku, po zmiennej oprócz ".php" ma być jeszcze jakis inny ciąg znaków... Np:
index.php?pid=strona1 wywołuje plik o nazwie: inc_strona1.include.php
Przy tak skonstruowanej nazwie pliku nikt Ci nic nie podlepi...
index.php?pid=strona1 wywołuje plik o nazwie: inc_strona1.include.php
Przy tak skonstruowanej nazwie pliku nikt Ci nic nie podlepi...
ok można zamknąć temat tu jest odpowiedź
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.