Witam
mam pytanie odnosnie urli i pobierania z nich zmiennych
za wstawienie elementu stronki odpowiedzialny jest include co w przypadku


wyswietla strone główna ale daje tez mozliwosc umieszczenia dowolnego kodu z innej stronki po wpisaniu jej adresu




pytanko czy istnieje skuteczny i w miarę prosty sposob ochrony przed includowaniem "obcych " plików czy tez lokalnych np z etc/passwd, ale nie przeznaczonych do includowania
za wskazówki i podpowiedzi z góry dzieki

w tym wypadku nie istnieje, ale to zalezy co w tych plikach bedzie

czysty text
jesli w tym wypadku nie da rady to czy mozna ograniczyć includowane pliki tzn zapisać w jakiś sposób nazwy aby get nie brało innych nazw niz te ktore są zdefiniowane ?

jezeli includujesz pliki, to daj kod

[PHP] pobierz, plaintext 
<?php
if ( eregi ( '../' , $_GET['page'] ) or eregi ( 'http://' , $_GET['page'] ) )
{
die ( 'Wystąpił błąd translacji URL' );
}
if ( file_exists ( './includes/' . $_GET['page'] . '.inc' ) )
{
include ( './includes/' . $_GET['page'] . '.inc' );
}
else
{
die ( 'ERROR 404: Podana strona nie istnieje' );
}
?>
[PHP] pobierz, plaintext 

Wiem, że z tymi eregi można w jednym, ale nie jestem na tyle dobry

eregi rozumiem ze wykluczają dane zmienne
ale czym jest ? boze banalne ale po prostu nie wiem

.inc to rozszerzenie... problem jest taki, ze musisz zabezpieczyc katalog, w ktorym te pliki sa bo inaczej moze je ktos podpatrzec, dlatego ja wole uzywac .php

ok zabezpieczyc w jakim celu ?
nazwy plików znał bedzie każdy kto wywoła odnosnik, a brak egzotycznych rozszerzen dla plików czyli zwykłe .php daje info o całosci nazwy pliku
pozdro