Discussion :

[rougedragon]

Bonjour,
Dans un post précédent on me dit de ne pas afficher mes pages avec le script suivant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

include $page.php

(j'ai fais simple) . La justification est qu'il ne faut pas mettre de variable avec un include.

Comment gérer les pseudo-frames autrement ???

Merci

[Halukard]

il faut que tu concatene ton extension avec ta variable si $page contient juste accueil par exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

include $page.'.php'

comme ca tu "colle" accueil a .php ce qui lui permet de trouver ton fichier et de l'inclure correctement.

[Eusebius]

Je pense que si on t'a dit ça, c'est pour éviter que tu fasses l'include d'un fichier non prévu pour ça (inclusion de code source arbitraire).
La variable $page vient d'un formulaire, ou d'une entrée utilisateur, enfin de l'extérieur de ton script, c'est ça ? Dans ce cas il faut vérifier qu'elle a bien une des valeurs attendue, et si ce n'est pas le cas tu renvoies une erreur. Mais ne fais jamais un include directement avec un nom de fichier qui vient d'on ne sait pas où.
[EDIT : c'est en gros ce que fait segfault en-dessous]

Désolé si jamais j'ai répondu à côté

[SegmentationFault]

le fait d'ajouter .php à ta variable est déja pas mal, mais tu peux faire mieux genre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
switch($page)
  	{
  		case "home":
			$page = 'home.html';
			break;
		case "toto":
			$page = 'titi.php';
			break;
		default:
			$page = 'home.html';
			break;
  	}

bein dans default, soit tu redirige vers une page precise soit tu affiche un truc genre "c'est raté, réessaye autre chose"

EDIT: un conseil de ma part, redirige plutot vers une page, car si tu lui affiches un message enervant et il se trouve que cette personne est douée, tu peux dire bye bye à ton site

[rougedragon]

j'appelle mes pages bêtement par: <a ... tete.php?link=specialteam...

je pensais être couvert par ça en fait:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
<?php
 $filename = "./$link.include.php";
  if(file_exists($filename))
  {
   include($filename);
}
else
{
echo 'VOUS NE POUVEZ PAS AFFICHER CETTE PAGE';
}
?>

sachant que pour brouiller un peu , je peux mettre tarte à la place de inc.
Qu'en pensez vous ??
(ce que propose Halukard en fait- j'avais pas lu)

[sahid]

Salut,

imagine je fais entrer dans ta variable $link

"http://monserveur/hack"
(sachant que j'ai un fichier qui se nomme hack.include.php)

on appelle cela des attaques XSS,

tu devrais faire attention avec ça ...
élabore toi un front-controller plus performant, c'est la dessus que repose ton appli.