| Autor | Zpráva | ||
|---|---|---|---|
| Lorin Profil * |
#1 · Zasláno: 17. 11. 2011, 16:48:31
Momentálně se snažím naprogramovat jednoduchou PHP aplikaci a narazil jsem na malý problém, který jsem dříve ledabyle odbyl bez nějaké většího přemýšlení, ale v tomto případě si chci dát obzvláště záležet na kvalitě provedení, takže na každý problém hledám více než jedno nejkratší řešení.
Dejme tomu, že mám stránku index.php, ve kterém bych chtěl načítat ostatní stránky (např. přihlášení, administraci atd.). Dříve jsem "substránky" (například jako již zmíněné přihlášení) uložil do nového souboru a po zavolání index.php?p=jmenostranky jsem načetl stránku, která byla uvedena v proměnné $_GET['p']. Samozřejmě jsem testoval, zda jméno souboru neobsahuje .. (přechod o adresář výše), lomítko, nebo jiné nepovolené znaky a zda soubor existuje ve mnou zadaném adresáři. Lze tohle nazvat bezpečným a správným řešením nebo se spíše používá nějaký jiný postup? Děkuji. L. |
||
| Str4wberry Profil |
#2 · Zasláno: 17. 11. 2011, 16:57:30
Ještě je vhodné ošetřit případné samostatné spuštění souboru, který se někam vkládá.
|
||
| Lorin Profil * |
#3 · Zasláno: 17. 11. 2011, 17:22:46
A, zapomněl jsem zmínit kontrolu u každého načítaného souboru. Hned na začátku se testovalo, zda se soubor nenačítá přímo, v případě že ano, byl uživatel automaticky přesunut na index.php.
|
||
| Lorin Profil * |
#4 · Zasláno: 17. 11. 2011, 17:39:57
Takže tento způsob můžu bez obav použít?
Samozřejmě za předpokladu, že v kontrolách nebudou mnou zanesené chyby. |
||
| nethor Profil |
#5 · Zasláno: 18. 11. 2011, 12:13:45
Tohle řeším zcela opačně:
v samostatném souboru "pfx_requires.php" na začátku scriptu jmenovitě definuji, co se bude při kterém $_GET načítat.
if($_GET[p] == "shop") {
require_once "pfx_shop.php"; // načte se hned
$load_body[] = "pfx_shop_form.php"; // připraví se pro načtení v těle
}
Jedna z výhod je, že případnému útočníkovi 'neukazuju karty' formou jména souboru. |
||
| Lorin Profil * |
#6 · Zasláno: 18. 11. 2011, 20:21:45
To mě taky napadlo, ale nakonec jsem se rozhodl, že do $_GET['p'] se umístí jen část jména souboru, třeba právě "shop". Pak při zpracování načítané stránky doplním její název o nějakou předponu (zkratka jména projektu atd.) a příponu (buď jen .php nebo třeba .inc.php popř. něco podobného).
L. |
||
|
Časová prodleva: 12 let
|
|||
0