Czy sprawdzi się poniższy kod?

Chodzi o włamy typu:
http://www.sklep-ogrod.pl/kategoria.php?id...nazwy&o=asc

[PHP] pobierz, plaintext 
<?php
 
function ZabezpieczenieHttp()
{
	$filepage = $_SERVER["REQUEST_URI"];
 
	$is_down = array(
		'SELECT', 'select',
		'FROM', 'from',
		'UPDATE', 'update',
		'UNION', 'union',
	0);
 
	unset($is_blocked);
 
	for ($k=0;$k<count($is_down)-1;$k++) {
		if (strpos($filepage,$is_down[$k])) {
			$is_blocked++;
		}
	}
 
	if ($is_blocked) {
		die('Daruj sobie!');
	}
}
 
ZabezpieczenieHttp();
 
?>
[PHP] pobierz, plaintext 

Czy możecie wypisać więcej słów używanych do takich włamów?

[PHP] pobierz, plaintext 
	$is_down = array(
		'SELECT', 'select',
		'FROM', 'from',
		'UPDATE', 'update',
		'UNION', 'union',
	0);
[PHP] pobierz, plaintext 

Nie rób tego w ten sposób, lepiej sprawdzaj Switchem:
switch($id){
case 'nazwa_id':
//operacja do wykonania;
break;
default:
//jezeli id bedzie rozne od wymienionych powyzej
}

[PHP] pobierz, plaintext 
switch($_GET['id'])
{
case 1:include('start.php');break;
case 2:include('jakas_strona.php');break;
case 3:include('jakas_inna_strona.php');break;
 
default :include('start.php');break;
}
[PHP] pobierz, plaintext 

Gotowe rozwiązanie

Wy chyba nie odróżniacie LFI od SQL Injection...

Ja bym polecał po prostu addslashes lub po prostu rzutować na liczbę (jeśli zmienna w _GET musi być liczbą):

[PHP] pobierz, plaintext 
$id = (int)$_GET['id'];
[PHP] pobierz, plaintext 

A ja bym to przesłał metodą POST i bym miał święty spokój - potem addslahes(); i po krzyku.
Ale oprócz tego używam też switch{};

pzdr

Głupie rozwiązanie jeżeli mam includować w ten sposób ponad 200 plików. Oprócz tego, niektóre podstrony są pobierane z bazy danych (infopage).
Chodzi mi aby mój kod powyżej użyć przed wykonaniem wszystkich pozostałych funkcji...



Jak w temacie chodzi mi o zabezpieczenie przed włamami przez _GET. Dla _POST osobne zabezpieczenie...

mysql_real_escape_string powinno wystarczyć