To takie bardzo sztywne rozwiązanie dla "kontrolera" ajax, ale z ciekawosci chciałem zapytać, czy widzicie jakieś jego "dziury"?

[PHP] pobierz, plaintext 
if(isset($_POST["q"])) {
    $request = $_POST;
} else {
    $request = $_GET;    
}
 
if(!isset($request["q"])) {
    die();
}
 
switch($request["q"]) {
    case "kontakt":
    case "naszemenu":
    case "lokalizacja":
    case "galeria":
        $dzial = $request["q"]; break;
    default: $dzial = "kontakt";
}
 
$plik_dzial = "txt/".$dzial.".txt";
 
/* JEDZIEMY Z KOKSEM */
 
if(file_exists($plik_dzial)) {
    $handle = fopen($plik_dzial, "r"); 
    $tresc = fread($handle, filesize($plik_dzial));
    fclose($handle);
 
    header('Content-type: text/html; charset=iso-8859-2');
    echo $tresc;    
} else {
    header("HTTP/1.0 404 Not Found");
}
[PHP] pobierz, plaintext 

Co to?

[PHP] pobierz, plaintext 
if(isset($_POST["q"])) {
$request = $_POST;
} else {
$request = $_GET;
}
[PHP] pobierz, plaintext 

Równie dobrze mogę dodać zmienną POST jako GET, w tym wypadku włączasz register globals

wydaje mi się że moje rozwiązanie jest mniej ryzykowne niż register_globals - co sobie możesz podać w post lub get co mi może zaszkodzić ?

Register_globals powinno być bezwzględnie wyłączone, a jeśli nie - skrypt powinien być zabezpieczony przed jego włączeniem. Przepisywanie zmiennych superglobalnych jest bez sensu, ponieważ istnieje coś takiego, jak $_REQUEST.

~Zyx
Pamiętaj, że oprócz GET i POST w tablicy REQUEST może znaleźć się kilka innych niechcianych danych. A jak wiadomo, jeśli jakieś dane się powtórzą, wówczas w zależności od konfiguracji, GET lub POST mogą zostać nadpisane.

~uirapuru
Dodaj jeszcze sprawdzenie nagłówka pod kątem ajax-a.

[PHP] pobierz, plaintext 
if($_SERVER['HTTP_X_REQUESTED_WITH'] != 'XMLHttpRequest') {
    header("HTTP/1.0 404 Not Found");
    exit;
}
[PHP] pobierz, plaintext 

No i nie die(), tylko header 404. Po co robot ma wiedzieć, że jest jakiś skrypt.