les liens et php avec les "include" [Résolu]

pp_le_moko · 12/12/2010, 19h35

bonjour,
sur ma page principale (resto.php), j'ai:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?
		if(!isset($Message) or $Message == "") $Message = 'accueil';
		$IsFileOk = include($Message.'.php');
		if (!$IsFileOk) include('accueil.php');
	?>

jusqu'ici tout est normal. Dans accueil.php, j'ai un lien-image:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a href="resto.php?Message=entrees_froides" onmouseout="MM_swapImgRestore()" onmouseover="MM_swapImage('entrees froides','','images/bt_ent_fro_dwn.png',1)"><img src="images/bt_ent_fro.png" name="entrees froides" width="97" height="97" border="0" id="entrees froides" /></a>

En ce qui me concerne, tout est normal. Le lien pointe sur la page principale (resto.php) et inclue là où je lui demande "entrees_froides" (entrees_froides.php).

Mais, lorsque j'active ce lien, pas de message d'erreur, et il m'affiche toujours la page resto.php avec l'include "accueil.php". Pourquoi ?

merci de bien vouloir me répondre

Eric2a · 12/12/2010, 20h31

Salut,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
$Message=isset($_GET['Message'])?$_GET['Message']:'';
if($Message=='')$Message='accueil';
 
$filename=dirname(__FILE__).DIRECTORY_SEPARATOR.$Message.'.php';
$IsFileOk=file_exists($filename);
if($IsFileOk){
	$IsFileOk=include($filename);
	if((!$IsFileOk)and($Message!=='accueil')){
		$filename=dirname(__FILE__).DIRECTORY_SEPARATOR.'accueil.php';
		$IsFileOk=include($filename);
	}
}
?>

?

s.n.a.f.u · 20/12/2010, 15h54

Effectivement, il faut récupérer le paramètre passé en GET, les variables étant visiblement (et heureusement !) désactivées sur ton serveur.

Je dis heureusement ,parce que tu fais déjà quelque chose de très dangereux : il ne faut jamais inclure DIRECTEMENT un fichier dont le nom est passé dans l'url. C'est un des meilleurs moyens de se faire hacker !

Si tu ne veux pas gérer une liste de pages accessibles, tu devrais au moins tester que le fichier appelé existe à l'endroit voulu (avec file_exists), ce qui empêchera au moins l'exécution de scripts distants...

C'est la raison du code précédent (qu'il aurait été nécessaire de commenter, non

)

pp_le_moko · 20/12/2010, 17h30

Bonsoir,

Je suis tout à fait d'accord avec le dernier commentaire... Une explication s'imposait donc.
Le code seul (qui fonctionne parfaitement) méritait effectivement une explication. Merci à Snafu pour son intervention.

Eric2a · 20/12/2010, 17h38

Re,

C'est vrai que je suis avare (par flemme) en commentaires.

Promis, je vais faire un effort.

20/12/2010, 15h54	#3
s.n.a.f.u Modérateur Développeur Web Inscription : août 2006 Messages : 2 700 Détails du profil Informations personnelles : Sexe : Âge : 37 Localisation : France, Loire Atlantique (Pays de la Loire) Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : août 2006 Messages : 2 700 Points : 3 357 Points : 3 357	Effectivement, il faut récupérer le paramètre passé en GET, les variables étant visiblement (et heureusement !) désactivées sur ton serveur. Je dis heureusement ,parce que tu fais déjà quelque chose de très dangereux : il ne faut jamais inclure DIRECTEMENT un fichier dont le nom est passé dans l'url. C'est un des meilleurs moyens de se faire hacker ! Si tu ne veux pas gérer une liste de pages accessibles, tu devrais au moins tester que le fichier appelé existe à l'endroit voulu (avec file_exists), ce qui empêchera au moins l'exécution de scripts distants... C'est la raison du code précédent (qu'il aurait été nécessaire de commenter, non ) __________________ Avant de poser une question, n'hésitez pas à chercher dans la FAQ et les forums Merci d'utiliser les balises de code (# dans l'éditeur) Si votre problème est réglé, merci d'utiliser le bouton *S.N.A.F.U*
	00

20/12/2010, 17h30	#4
pp_le_moko Candidat au titre de Membre du Club Inscription : mars 2009 Messages : 45 Détails du profil Informations forums : Inscription : mars 2009 Messages : 45 Points : 12 Points : 12	Bonsoir, Je suis tout à fait d'accord avec le dernier commentaire... Une explication s'imposait donc. Le code seul (qui fonctionne parfaitement) méritait effectivement une explication. Merci à Snafu pour son intervention.
	00

20/12/2010, 17h38	#5
Eric2a Membre Expert Eric Garidacci Inscription : septembre 2005 Messages : 1 057 Détails du profil Informations personnelles : Nom : Eric Garidacci Âge : 41 Informations forums : Inscription : septembre 2005 Messages : 1 057 Points : 1 564 Points : 1 564	Re, C'est vrai que je suis avare (par flemme) en commentaires. Promis, je vais faire un effort. __________________ N'oubliez pas le vote des messages utiles ainsi que le Tag [Résolu]. Mon Site Web : Corse - Actualité, Météo, Vidéos, Logiciels, ...
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email