Discussion :

[budylove]

bonjour

voila je suis entrain de créer un site proffesionnel mais j'ai un petit soucis alors j'en appel a votre aide...

j'ai crée ma page index.php et ma feuilel de style css

dans mon index.php j'include le header ainsi que le menu et je voudrais savoir comment faire pour intégrer le contenu de la page selectionner sans avoir a tout recharger et sans utiliser de ca
<?
$page = $_GET['page'];
include("$page.php");
?>

puisque parait-il que c'est dangereux niveau sécurité ?



quelqu'un a une solution
j'espre avoir ete assez clair.

[_Mac_]

Tu peux t'en sortir en maintenant une liste des pages autorisées en include.

Sinon, y a l'autre solution qui consiste à faire un include du header et du menu dans chaque page.

[adiGuba]

Salut,

En effet c'est dangeureux au niveau sécurité. Dans la doc de include on peut lire :

Si les Gestionnaires d'URL sont activés dans PHP (ce qui est le cas par défaut), vous pouvez localiser le fichier avec une URL (via HTTP ou bien avec un gestionnaire adapté : voir Annexe M pour une liste des protocoles), au lieu d'un simple chemin local.

C'est à dire qu'avec le code suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
    <?
    $page = $_GET['page'];
    include("$page.php");
    ?>

Et que tu lances ta page avec le paramètre ?page=http://www.google.com alors la page d'acceuil de Google sera incluse dans ta page...
Le danger c'est qu'au lieu de rediriger vers Google il y ai une redirection vers une page imitant un formulaire de ton site (style connection de l'utilisateur), ce qui permettrai de renvoyer les données utilisateurs vers un autre site...


Le moyen le plus simple de le sécuriser est de spécifier un répertoire dans lequel se trouveront toutes les pages à inclure, et de spécifier ce répertoire dans include :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
    <?
    $page = $_GET['page'];
    include( "./included/" . "$page.php");
    ?>

De cette manière si le paramètre page correspond à une adresse vers un autre site tu auras une erreur de include()...

a++

[francis m]

encore que la solution d'adiguba résoud probablement le problème, on m'a toujours dit que pour ces mêmes raisons de sécurité il faut carrément éviter ce genre de code

[budylove]

en faite j'ai utilisé les includes

je fais un test de la page voir si le nom est correct si oui je l'affiche sinon je retourne a l'acceuil

on verra ce que ca donnera

[francis m]

oui mais si tu fais un test c'est que tu possèdes quelque part un tableau pour comparer la page à charger avec les pages existantes

je ne comprends toujours pas, mais suis peut-être trop ignorant, pourquoi tu ne fais pas un include de la page en clair au lieu de la passer en paramètre...

[SpaceFrog]

sinon en xmlhttprequest ...

[budylove]

bin je sais pas ce que j'ai fait c'est pas bien ?

si je pose c'est pour avoir des conseil

merci bien

[vg33]

Je milite pour la liste blanche à propos des pages à inclure.
Ou alors, tester la présence de caractères dangereux (du style ../ ou http), puis la présence du fichier demandé dans un répertoire dont l'adresse est codée en dur, et enfin inclure.

[Space Cowboy]

Moi j'utilise ca

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<div id="corps">
<?php 
$pageOK = array(        '1' => 'acceuil.php',
                                        '2' => 'contact.php',
                                        '3' => 'profil.php');
if (!isset($_GET['page'])){ $_GET['page'] = "news";}
if ( (isset($_GET['page'])) && (isset($pageOK[$_GET['page']])) ) include($pageOK[$_GET['page']]);?>
</div>

Mais comme le dit dit Spacefrog, charger des données sans recharger la page c'est xmlhttprequest ...

[SpaceFrog]

merci voisin de l'espaaaaaace
je pensais encore une fois avoir été transparent

[budylove]

ouais bin j'utilise ca moi aussi

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
  // On définit le tableau contenant les pages autorisées
  // ----------------------------------------------------
  $pageOK = array('australie' => 'australie.php',
                  'toeic' => 'toeic.php',
                  'accueil' => 'accueil.php');
 
  // On teste que le paramètre d'url existe et qu'il est bien autorisé
  // -----------------------------------------------------------------
  if ( (isset($_GET['page'])) && (isset($pageOK[$_GET['page']])) ) {
    include($pageOK[$_GET['page']]);   // Nous appelons le contenu central de la page
  } else {
    include('accueil.php');   // Page par défaut quant elle n'existe pas dans le tableau
  }
  ?>

c'est bon ca ?