mam tu stronkę http://dobrepomysly.za.pl

I działy, dajmy na to dział 2.

No i tematy są inludowane w sposób :

[PHP] pobierz, plaintext 
<?php
if (!isset($_GET['dzial'])){
echo" 
<center><b>Szkoła podstawowa</b></center>
<ul><li><a href="index.php?go=szkola&dzial=1"><b>Swobodna twórczość dziecięca</b></a></li>
";
} else {
switch ($_GET['dzial'])
{
case 1:
include("1.html");
break;
case 2:
include("2.html");
break;
<!--  i tak dalej az do 40-->
 }
}
?>
[PHP] pobierz, plaintext 

Jak to zrobic zeby nierobić tych bardzo żmudnych case x: include("blabla.html")
niebardzo wiem jak to zrobic przy użyciu np. pętli while czy cos takiego. Pomóżcie

Jeśli numery działów odpowiadają nazwom plików, to możesz zrobić po prostu tak:

[PHP] pobierz, plaintext 
<?php
 
$dzial = $_GET['dzial'];
include ('katalog/' . $dzial . '.html');
 
?>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
 
$dzial = (int) $_GET['dzial'];
if(file_exists('katalog/' . $dzial . '.html')) include ('katalog/' . $dzial . '.html');
 
?>
[PHP] pobierz, plaintext 

może lepiej tak

Jeśli to nie tylko liczby, to możesz na przykład zrobic tablicę elementów odpowiadająch możliwością, i sprawdzać za pomocją in_array(). Jednak wygląda, że to raczej będą numerki, więc rozwiązanie zbig13'a będzie lepsze, jednak z jednym dodatkiem - filtrowaniem tego $_GET['dzial'].

rozwiązanie zbig13 wcale nie jest lepsze.
Zastanów się lepiej :]

ja podsunąłem tylko propozycję jak można to zrobić krócej (zamiast switch) a z zabezpieczeniem tego kodu autor tematu powinien sobie poradzić

@Spirit86 - do tego twojego kodu można zamiast (int) przed zmienną sprawdzić w warunku czy zmienna $dzial jest liczbą (funkcja is_numeric" title="Zobacz w manualu php" target="_manual). Jest to o tyle lepsze, że można kontrolować komunikat wyświetlany, gdy zmienna nie będzie miała wartości liczbowej.

razej zmienna zawsze będzie miała wartość liczbową, chodzi o te pliki html.
Jest tego dużo i dużo latwiej mi się połąpać. A nieznam sie superowo na php


Niewiem co mam przez to rozumiec W jaki sposób ten kod zabezpieczyc

Kod niezabezpieczony wygląda tak:

[PHP] pobierz, plaintext 
<?php
 
include ($_GET['dzial'] . '.html');
 
?>
[PHP] pobierz, plaintext 

Potencjalny włamywacz może napisać cos takiego:
http://twoja.strona.pl?dzial=http://strona.hakera.pl/1

i otworzył by się plik, który haknie ci stronę.

Aby zabezpieczyć stronę, trzeba zrobić cos takiego:

[PHP] pobierz, plaintext 
<?php
 
if (is_numeric ( $_GET['dzial'] )) {
 
$dzial = (int) $_GET['dzial'];
if (file_exists('./katalog/' . $dzial . 'html') { include ('./katalog/' . $dzial . '.html'); }
 
} else {
echo 'Nieprawidłowe dane';
}
 
?>
[PHP] pobierz, plaintext 

czyli połączenie mojego kodu i kodu Spirit86

Edit:

@mike_mech Racja, to z pośpiechu Już poprawiam

ja bym tak dał die" title="Zobacz w manualu php" target="_manual zamiast echo

Mam gorącą prośbe, mogłbyś mi bardziej dogłębnie wytłumaczyc, jak mogłby hacknnąć tą stronkę W jaki sposób ten kod napisany przez ciebie chroni przed włamem.

Nie chcę robić poźniej takiego błędu
z góry THX

Chodzi o to że bez kontroli dołanczasz jakiś plik, to wcale nie musi byc plik u Ciebie na serwerze tylko u kogoś. Kotś może Ci tak dołączyć plik, w którym kasuje wszystkie foldery w bierzącej lokalizacji a to już problem, nie :?:

Sprawdzenie polego na tym czy zmienna przychodząca z $_POST'a jest liczbą i czy u Ciebie na serwerze istnieje plik, który masz zamiar dołączyć (masz pewność że dołanczasz seoje pliki).
Mam tylko dwa ale:
1. Do sprawdzania czy dana jest liczbe użyłbym fukncji z rozszerzenia ctype.
2. @zbig13 ma błąd w kodzie: Sprawdza istnienie pliku na poziomie (folderów) gdzie jest index.php a dołancza plik z folderu niżej. Oczywiste jest że nigy takiego pliku nie będzie. Trzeba sprawdzać czy plik istnieje w folderze niżej.

a cóż to za różnica, jeżeli i tak udaremniliśmy próbę Code Injection. Teraz to i tak nie ma znaczenia, więc można wykonywac stronę dalej.

[PHP] pobierz, plaintext 
<meta http-equiv="Content-type" content="text/html; charset=iso-8859-2" />
<?php
if (!isset($_GET['dzial'])){
echo" 
 
<center><b>Szkoła podstawowa</b></center>
<ul>
<li><a href="index.php?go=efekty&dzial=1"><b>Egzamin w klasach trzecich</b></a></li>
<li><a href="index.php?go=efekty&dzial=2"><b>Szkolny system diagnozowania.</b></a></li>
<li><a href="index.php?go=efekty&dzial=7"><b>Świetlicowy Sejmik (spotkania społeczności świetlicowej)</b></a></li>
<li><a href="index.php?go=efekty&dzial=10"><b>Kolorowy  kraj „Ćwierćlandia” – impreza w ramach obchodów Dnia Matki i Dnia Dziecka w naszej szkole</b></a></li>
</ul>
<center><b>Gimnazjum</b></center>
<ul>
<li><a href="index.php?go=efekty&dzial=3"><b>„Wartość dodana” zamiast tabel lekkoatletycznych</b></a></li>
<li><a href="index.php?go=efekty&dzial=5"><b>Zastosowanie minimum ze wszystkich przedmiotów w nauczaniu  w gimnazjum</b></a></li>
<li><a href="index.php?go=efekty&dzial=8"><b>Klasa partnerska</b></a></li>
<li><a href="index.php?go=efekty&dzial=9"><b>„Miasto uczuć” – jakie uczucia wzbudza w nas nasza szkoła?</b></a></li>
<li><a href="index.php?go=efekty&dzial=11"><b>Promowanie osiągnięć uczniów szkoły wśród Rodziców.</b></a></li>
</ul>
<center><b>Szkoła ponadgimnazjalna</b></center>
<ul>
<li><a href="index.php?go=efekty&dzial=4"><b>Zwiększanie efektywności uczenia się.</b></a></li>
<li><a href="index.php?go=efekty&dzial=6"><b>Porównywanie wyników nauczania w poszczególnych klasach.</b></a></li>
</ul>
";
} else {
if (is_numeric ( $_GET['dzial'] )) {
 
$dzial = (int) $_GET['dzial'];
if (file_exists('./katalog/' . $dzial . 'html') { include ('./katalog/' . $dzial . '.html'); }
 
} else {
echo 'Nieprawidłowe dane';
}
 
?>
[PHP] pobierz, plaintext 

i wyrzuca błąd


A niemoge się tam doszukac jakiegoś błędnego nawiasu, co jest nie tak HELP

Na samyum koncu brakuje }. Czy to tak ciezko policzyc lkiczbe otwrtych, liczbe zmaknietych i sprobowac samemu znalexc?

dla ciebie wnikliwego programisty to moze i proste, ale dla mnie.

Moze jak jakbym ci zaczoł nawalać taktyki w Warcrafcie to dla ciebie niebyło by tak oczywiste jak dla mnie.

I tak nic to niedaje ...

Kolego, troszkę szacunku dla kogoś, kto próbuje Ci pomóc.
I zamiast tekstów "i tak nic to nie daje" lepiej powiedz, co jest jeszcze nie tak jak powinno być, czy wywala jakiś błąd?

[PHP] pobierz, plaintext 
<meta http-equiv="Content-type" content="text/html; charset=iso-8859-2" />
<?
if (!isset($_GET['dzial']))
{
	echo"
 
	<center><b>Szkoła podstawowa</b></center>
	<ul>
	<li><a href="index.php?go=efekty&dzial=1"><b>Egzamin w klasach trzecich</b></a></li>
	<li><a href="index.php?go=efekty&dzial=2"><b>Szkolny system diagnozowania.</b></a></li>
	<li><a href="index.php?go=efekty&dzial=7"><b>Świetlicowy Sejmik (spotkania społeczności świetlicowej)</b></a></li>
	<li><a href="index.php?go=efekty&dzial=10"><b>Kolorowy  kraj „Ćwierćlandia” – impreza w ramach obchodów Dnia Matki i Dnia Dziecka w naszej szkole</b></a></li>
	</ul>
	<center><b>Gimnazjum</b></center>
	<ul>
	<li><a href="index.php?go=efekty&dzial=3"><b>„Wartość dodana” zamiast tabel lekkoatletycznych</b></a></li>
	<li><a href="index.php?go=efekty&dzial=5"><b>Zastosowanie minimum ze wszystkich przedmiotów w nauczaniu  w gimnazjum</b></a></li>
	<li><a href="index.php?go=efekty&dzial=8"><b>Klasa partnerska</b></a></li>
	<li><a href="index.php?go=efekty&dzial=9"><b>„Miasto uczuć” – jakie uczucia wzbudza w nas nasza szkoła?</b></a></li>
	<li><a href="index.php?go=efekty&dzial=11"><b>Promowanie osiągnięć uczniów szkoły wśród Rodziców.</b></a></li>
	</ul>
	<center><b>Szkoła ponadgimnazjalna</b></center>
	<ul>
	<li><a href="index.php?go=efekty&dzial=4"><b>Zwiększanie efektywności uczenia się.</b></a></li>
	<li><a href="index.php?go=efekty&dzial=6"><b>Porównywanie wyników nauczania w poszczególnych klasach.</b></a></li>
	</ul>
	";
}
else
{
	if(is_numeric ( $_GET['dzial'] ))
	{
		$dzial = (int) $_GET['dzial'];
		if(file_exists('./katalog/' . $dzial . 'html'))
		{
		  include ('./katalog/' . $dzial . '.html');
		}
		else
		{
			echo 'Nieprawidłowe dane';
		}
	}
}
?>
[PHP] pobierz, plaintext 

Mam bardzo duży szacunek do was, ale wy niemacie szacunku do mnie.
Bo niejestem dobrym programistą w php.

Ok działa.
Bardzo wam dziękuję za pomoc.

Aha, i mam pytanie, jeżeli mam tn działy.php i w tym samym katalogu te pliki 1.html itd.

To jak zamienić tą komendę include bo próbuję coś tu zmieniać, i zawsze wyskakuje " nieprawidłowe dane " :/

Usuń /katalog/ z file_exists() i .....
ZACZNIJ MYŚLEĆ!!!

wrzuc sobie do tablicy nazwy dostepnych blokow z odpowiadajaca im nazwa plikow, potem wyciganij za pomoca foreach i porownaj z getem jesli blok bedzie dostepny to incuduj plik .... mniejwiecej tak:

[PHP] pobierz, plaintext 
<?php
$a_block = array('blok_1'=>'blok');
 
foreach($a_block as $block_k => $block_v){
 
	if($_GET['block']==$block_k){
 
		 include_once('".$block_v.".php');	
 
	}
 
}
?>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
$a_block = array('blok_1'=>'blok');
if(in_array($_GET['block'], $a_block ) include_once($ablock[$_GET['block']].'.php');    
?>
[PHP] pobierz, plaintext 

nie łatwiej tak?

Zmieniłem na tak jak powiedzieliście, i efekt taki sam, czyli wypisuje nieprawidłowe dane, a te pliki znajduja sie w tym samym katalogu co ten skrypt.

A dodanie na koncu skrptu, Działa

[PHP] pobierz, plaintext 
<?php
 include ("1.html")
?>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
 
{
	if(is_numeric ( $_GET['dzial'] ))
	{
		$dzial = (int) $_GET['dzial'];
		if(file_exists( $dzial . 'html'))
		{
		  include ( $dzial . '.html');
		}
		else
		{
			echo 'Nieprawidłowe dane';
		}
	}
}
 
?>
[PHP] pobierz, plaintext 

a tu niechce, ja juz się gubię, i niemogę sobie poradzic, a skrypty ( te z ostatnich postów) to już woogule nie kumam. Sry

nawet jesli wywola plik z innego serwera to i tak to mu nic nie da.
Pobierze sie tylko juz wygenerowana strona, poniewaz kod wykona sie po stronie serwera hakera. Jesli bylby kod kasujacy wszystkie foldery w danej lokalizacji to po stronie serwera tego 1 musialby byc przepuszczony przez eval();

tak mi sie przynajmniej wydaje

@Kreton A co się dokładnie dzieje? Są jakieś komunikaty o błędach czy coś w tym rodzaju. Napisz trochę więcej, bo na pierwszy rzut oka nie widać żadnych błędów w kodzie.
jeszcze tylko powiedz po co ta klamra przed if(is_numeric)

[PHP] pobierz, plaintext 
<?php
 
 
{ // <- Po co to 
	if(is_numeric ( $_GET['dzial'] ))
	{
		$dzial = (int) $_GET['dzial'];
 
?>
[PHP] pobierz, plaintext 

musi byc ten nawias bo przed nim jest

chodzi o to ze ta konstrukcja include musi byc zła, bo nieincluduje pliku tylko pokazuje tylko ten komunikat czyli

zaznaczam ze pliki czyli 1.html 2.html itd. sa w tym samym katalogu co ten skrypt.
czyli konkretniej nie działa

[PHP] pobierz, plaintext 
<?php
if(file_exists( $dzial . 'html'))
?>
[PHP] pobierz, plaintext 

lub

[PHP] pobierz, plaintext 
<?php
include ( $dzial . '.html');
?>
[PHP] pobierz, plaintext 

i tu niemoge rozmyslij jak maja wygladar te 2 wersy

Tutaj funkcją file_exists () sprawdzasz czy plik istnieje.

[PHP] pobierz, plaintext 
<?php
 
if ( file_exists( $dzial . 'html' ) )
 
?>
[PHP] pobierz, plaintext 

Jeżeli Twoja zmienna $dzial będzie miała wartość 1 to w połączeniu z ciągiem znaków 'html' dostaniesz ciąg znaków '1html' a chodzi chyba raczej o '1.html' tak więc musisz postawić kropkę przed ciągiem 'html' w Twoim kodzie czyli poprawny fragment będzie wyglądał:

[PHP] pobierz, plaintext 
<?php
 
if ( file_exists( $dzial . '.html' ) )
 
?>
[PHP] pobierz, plaintext 

W tym wypadku dostaniesz ciąg '1.html' i wrzucając go do funkcji file_exists() sprawdzasz czy istnieje plik '1.html' a nie tak jak miałeś wcześniej '1html'

nadal nidzla wlasnie to if_exists :/, probowalem takze w innym skrypcie tego uzywac ale niedziała. Tu musi byc problem z tym if_exists