Witam, mam problem z moją stroną. Używam takiego kodu

[PHP] pobierz, plaintext 
 
$rozsz=".html"; 
if(file_exists("contents/$nazwa$rozsz"))
{
   include("contents/$nazwa$rozsz"); 
} 
else 
{ 
    include("contents/index$rozsz");
} 
[PHP] pobierz, plaintext 

Okazało się, że funkcja include nie jest bezpieczna. Próbuję zmienić to ze switch/case ale chyba nie umiem

[PHP] pobierz, plaintext 
$rozsz=".html"; 
switch ($_GET[show]) 
{
case '$nazwa': 
	include('contents/$nazwa$rozsz');
	break;
default:
	include('contents/index.html');
}
[PHP] pobierz, plaintext 

Adresy powinny się wyświetlać jako
www.adres.strny.pl/index.php?show=nazwa, gdzie nazwa jest plikiem w katalogu contents (wywoływanym w zależności od tego na jaką stronę chcę wejść, plików w contents mam około 80). Całą stronę mam tak zbudowaną, ale zwrócono mi uwagę, że są włamania przez funkcję include.

W każdym kursie opisana jest sprawa inkludowania plików poprzez funkcję switch, a w lepszych poruszona kwestia bezpieczeństwa... że nie wspomnę o szukajce na forum!

A nie możesz mi pomóc zmienić tego kodu? Naprawdę nie wiem co w nim jest nie tak.

Wiem, że jak wstawię

[PHP] pobierz, plaintext 
switch ($_GET[show]) 
{
case 'koty': include("contents/koty.html"); break;
default: include('contents/index.html');
}
[PHP] pobierz, plaintext 

To wszystko działa dobrze. Ale czy nie da się tak, że zamiast koty jest nazwa wywoływana w przeglądarce? Tzn. nie chcę na sztywno wpisywać koty, tylko jak kliknę adres www.ades.pl/index.php?show=psy to wyciągnie mi z katalogu contents plik psy.html, a jak adres z inną końcówką to wyciągnie mi inny plik. Nie wiem czy jasno określam o co mi chodzi...

samo Twoje podejście do tematu nie jest zbyt bezpieczne, więc sama funkcja switch nie poprawi jej.

[PHP] pobierz, plaintext 
$strony = array('psy', 'koty', 'konie');
$strona = (int) $_GET['akcja'];
$plik = "moduly/{$strony[$strona]}.inc.php";
if (file_exists($plik)) {
include $plik;
} else {
include 'moduly/default.inc.php';
}
[PHP] pobierz, plaintext 

w arrayu dodajesz pliki ktore maja byc includowane.
jezeli tego nie zrobisz, a nie bedziesz mial "default" to poprzez adres kazdy bedzie mogl uruchomic dowolny kod php. a to jest niezbyt bezpieczne..

Możesz np wrzucic pliki które chcesz załadować do jednego katalogu, i zamienić wrzystkie "dziwne" znaki z get'a typu . / ; na puste znaki, ale tu uwaga, weź też pod uwagę że ktoś może zapisać je w innym systemie np szesnastkowym.
Możesz też nadać plikom specyficzny prefix, tak aby jedyne co można było załadować to pliki wyznaczone do tego np abecadlo.index.php, możesz też połączyć obie metody

Hej, dzięki za podpowiedzi. Próbuję tak zrobić. Jednak za każdym razem jakikolwiek adres wpiszę wyrzuca mi pierwszy plik z array. Nie wiem dlaczego. Pewnie coś źle wpisuję.

Pierwszy plik, czy domyślny plik? W sposobie który podał Belze odwołujesz się tak index.php?akcja=2. Zeby pisać index.php?akcja=kot mussz tak to zapisać

[PHP] pobierz, plaintext 
$array = array('kot' => 'kot' , 'pies' => 'pies');
[PHP] pobierz, plaintext 

Pierwszy plik. Dziękuję - działa. A to (int) to niezbędne? Bo z tym to nie działa

wklej kod i wymien przykladowe linki to powiemy Ci gdzie lezy blad