PHP místo framů – PHP – Fórum – Programujte.com

Zdravím,

Chtěl bych použít příkaz include pro vkládání obsahu do webu, ale nevím jak vytvořit menu tak, aby mi odkazy spouštěli pouze příslušné include v hlavním obsahu webu.

Za každou radu předem děkuji!!

přikládám url pro ukázku http://www.procne.chytry.cz/validita/Index2.php

To Luďas : Je to jednoduché. Odkaz v menu daj vždy v tomto formáte (uvádzam svoju verziu includovania):

?pg=subor_ktory_includujes

<?php

	if(isset($_GET['pg']) and file_exists("./inc/".$_GET['pg'].".php"))

	{

		include("./inc/".$_GET['pg'].".php");

	}

	elseif(!isset($_GET['pg']))

	{

		include("./inc/default.php");

	}

	else

	{

		include("./inc/error404.php");

	}

?>

To Tocimanko : Děkuju moc, mohl bys jenom prosím ještě naznačit jak napsat ten odkaz, s php sem uplně na začátku takže nemám tušení jak na to.

To Luďas : LOL :D

<a href="?pg=xyz">odkaz</a>

bacha na to, je docela nebezpecny nechat uzivatele includovat jakoukoli stranku...ja bych to resil nejak takto:

$site= array();

$site["default"]="default.php"

$site["login"]="login.php";

$site["register"]="register.php"

//...

if(isset($site[$get["pg"]])

{

	include($site[$get["pg"]])

}

else

{

	include($site["default"])

}

To Arg :
no ale v tom priklade tociman zistuje ci subor exsistuje práve v jeho zlozke /inc a to
dokonca este bez pripony

... and file_exists("./inc/".$_GET['pg'].".php"))

To Arg : Nj, osobne by sa mi asi nechcelo aktualizovať také obrovské pole stránok. Keď ide o menšiu webovú prezentačku, tak v pohode, ale ak je to web so 100 podstránkami a položkami menu, tak volím moje riešenie. A malo by to byť ošetrené tak, že možnosť php injekcie je nepravdepodobná.

To Tocimanko : nejsem si jistej... ale co se stane kdyz zadas treba
?pg=../../../../w/web/hack
pokud je hack.php na stejnym hostingu?

To pawlik : Väčšina hostingov to má ošetrené jednoducho tak, že nie je možné pristupovať k zložkám, na ktoré nemáš práva. Takže toto nejak neriešim. Zatiaľ sa mi mojimi útokmi na vlastné aplikácie nepodarilo takto poškodiť dáta. Väčšina hostingov je predsa na linuxe, nie? ;)

To Tocimanko : Je to možné... ale stejně je bezpečnější Argovo řešení - na hosting nerad spoléhám :)

To pawlik : Bezpečnejšie možno :) Ale určite nie efektívnejšie. Určite by sa dalo i to moje vylepšiť, ale je plne funkčné a univerzálne. Lebo aktualizovať 3 miesta naraz je dosť obtiažne, najmä ak ide o väčšie weby ;)

Tocimanko
Tvoji víru v to, že to bude kočírovat hosting bych chtěl mít. Moc se mi líbí tvůj způsob uvažování -- "It's not bug, it's a feature." :o) V některých případech by se s tím dalo souhlasit, ale tohle je opravdu bezpečnostní chyba. Pokud např. budeš na stránky pak umožňovat upload souborů, útočník si tam nahraje záškodnický skript a už se to s tebou veze. Chybám je lépe předcházet než říkat, že tohle stejně nepůjde nijak využít.

A pokud mluvíš o tom, že takhle je to jednodušší (stačí nahrát soubor a hurá, jedeme), jde to pořešit automatickým přegenerováváním toho pole pokud se obsah složky změnil.

To bukaj : Prečo by som mal povolovať upload nebezpečných súborov? :D To sa dá jednoducho odfiltrovať ;) Zatiaľ som nikdy nepovoloval PHP súbory - to by som musel byť šialenec ;) ... Ja si nekomplikujem zbytočne život :) Keď vidím, že mi to nemôže ublížiť, neriešim ďalej. Všetko istí dôkladná analýza. Ak je pre útočníka nemožné využiť metódy, ktoré by mohli uškodiť, nevadí mi to. A keď sa chlapec o niečo pokúsi, tak mu vyhodí #404 :P Netvrdím, že je to zabezpečené dokonale. Aj možnosť s predgenerovaným polom je prípustná :))) Ale zas je to len komplikovanie :DDDD

Hoď sa do kľudu, pusti si ľahučké audio a mysli na niečo pekné :D

Tocimanko
Prečo by som mal povolovať upload nebezpečných súborov? :D To sa dá jednoducho odfiltrovať ;)
Jednoduše odfiltrovat? Mohl bych znát ten recept? :o)

Hoď sa do kľudu, pusti si ľahučké audio a mysli na niečo pekné :D
Já jsem naprosto v klidu. Jenom nechci, aby si z tebe někdo bral příklad ;o)

To bukaj : :smile5: :smile6:

Prečo by som mal povolovať upload nebezpečných súborov? :D To sa dá jednoducho odfiltrovať ;)
Jednoduše odfiltrovat? Mohl bych znát ten recept? :o)

Hoď sa do kľudu, pusti si ľahučké audio a mysli na niečo pekné :D
Já jsem naprosto v klidu. Jenom nechci, aby si z tebe někdo bral příklad ;o)

Co je těžkého na zjištění přípony? Je víc způsobů, já bych použil tento:

$nazevSouboru = "ahoj.php";

$priponaSouboru = strstr($nazevSouboru, "."); //vypíše tečku a vše za ní, čili v tomto případě ".php"

if($priponaSouboru == ".php") {

  die("Nesmíte nahrávat PHP skripty!");

}

Ajajajaj. Dalsi pan udelejte-to-pekne-prosim-za-me : :smile15:

To Colpik : Máš tam chybu. Vo väčšine prípadov to fungovať bude, ale pokiaľ človek uploadne súbor, ktorý bude niesť názov "kod.inc.php", tak $priponaSouboru == ".inc.php". To len tak na doplnenie.

To Tocimanko : Ach, ommlouvám se, máš pravdu. Takhle by to mělo být lepší:

$nazevSouboru = "ahoj.php";

$priponaSouboru = strrchr($nazevSouboru, "."); //vypíše tečku a vše za ní, čili v tomto případě ".php"

if($priponaSouboru == ".php") {

  die("Nesmíte nahrávat PHP skripty!");

}

Tocimanko
Ak nevieš odfiltrovať nebezpečné prípony, nemám s tebou o čom ;)
Dobře, uznávám, měl jsem si pořádně přečíst kód, který jsi napsal. V tomto případě by opravdu stačilo odfiltrovat příponu. Ale jelikož se mnou "nemáš o čom", radši tento příspěvěk ani nečti.

To bukaj : To neva :) Aspoň, že si schopný uznať si chybu ;) To sa cení :)

To bukaj : Když ho nemá číst, proč mu ho píšeš? :smile1:

Colpik
Když ho nemá číst, proč mu ho píšeš? :)
Nejsem jeden z těch, co by dělali v případě chyby "mrtvého brouka" ;o)

vymyslel jsem vylepšení, díky kterému by se to dalo bezstarostně použít. Napsat

include("./inc/_".$_GET['pg'].".php");

jen několik poznámek a pak zamykám ;)
1) kod od tocimana lze jednoduse fixnout: $page = str_replace('../', '', $page);
2) oba dva zpusoby maji vyhody i nevyhody
3) jakkykoli upload od uzivatele je potencialne nebezpecny... a ty pripony... to muze byt jedno...