[PHP] <a href="index.?akce=neco">

Webdesign, HTML, CSS, Flash, PHP, ASP, .NET, JavaScript. Kritika www stránek na Smetišti.

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Johny[CZ] 21. 7. 2006 08:09

Já myslim že je určitě lepší include, protože se jenom napíše soubor a dá na něj odkaz (s case se musí přidat další case). Ale určitě si píšu to s tím file_exists.

A navíc, když budu mít více stránek tak ten soubor index.php bude mít x set kilo a i při přenášení přes ftp budu muset čekat...
Johny[CZ]
Junior
Uživatelský avatar

Odeslat příspěvekod wojta 21. 7. 2006 09:07

Určitě je lepší case. Nebo nejlépe tam mít číslo a to někde kontorolovat proti databázi a načíst odkaz na soubor.
Přímý include není bezpečný. Někdo ti do toho něco=... může něco podstrčit a tak si přečíst soubor, ke kterému by neměl mít přístup. Mož ná by to taky stačilo přepsat nějakým mod_rewrite (v Apachi), pak by to už tak nebezpečné nebylo.
wojta
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Johny[CZ] 21. 7. 2006 09:18

To může rovnou napsat do adresního řádku, ne? Nebo v tom je nějaký rozdíl?

btw mně se to hlásí do adresáře pages, kde jsou jen soubory běžně viditelné. Nikam jinam se stejně podstrčením dostat nedá, nebo ano?

Zkoušel jsem vytvořit složku tajne na stejné úrovni jako pages a jako index.php a podstrčil jsem view=../tajne/tajny_soubor . Výsledná cesta k souboru ($clanek) je potom $clanek = pages/../tajne/tajny_soubor.php. Nenačte to nic.

Používám pořád tu jednoduchoučkou verzi co je jako odpověď hned ze začátku.
Johny[CZ]
Junior
Uživatelský avatar

Odeslat příspěvekod Mike.M 21. 7. 2006 13:07

wojta píše:Určitě je lepší case. Nebo nejlépe tam mít číslo a to někde kontorolovat proti databázi a načíst odkaz na soubor.
Přímý include není bezpečný. Někdo ti do toho něco=... může něco podstrčit a tak si přečíst soubor, ke kterému by neměl mít přístup. Mož ná by to taky stačilo přepsat nějakým mod_rewrite (v Apachi), pak by to už tak nebezpečné nebylo.)/quote]

tak to je totalni tento. pokud budes includovat soubory s priponou php, tak jedine co ti s nemi udela je ze si je zobrazi, stejne jako prez ten index. Nic neni nebezpecne. Kod ti nikdy nezisti, jedine zebys to mel jako txt a on si nechal ten soubor ulozit, webserver ti vzdy ten soubor zpracuje, nikdy ti no neposle jako skript. Takze neni co resit. Prvne si o tom neco precti. Ja mel zpocatku taky strach.
Zivot je kurevsky tezky.
Mike.M
Mírně pokročilý
Uživatelský avatar

Předchozí stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků