Sécuriser un include/requier
:ccool:Bonjour à tous, je souhaite effectuer des include/requier je cherche dnc un moyen de sécuriser le contenu apelé.
J'ai trouvé ce code sur un site, après l'avoir analysé il me semble qu'il n'est en rien sécurisémalgrès le fait que les noms de pages sont dans un array et qu'il vérifie bien la précense de mes pages dans ce tableau.
Cependant il suffit d'héberger une page avec le même nom sur un hébergement différent pour l'inclure?
j'illutre avec cet exemple:
Code:
index.php?p=traitement
Le script va vérifier la présence de la page traitement.php dans mon dossier
Il suffit donc à quelqu'un de tester une URL de ce type
Code:
index.php?p=sitepirate.com/index.php?p=traitement
avec cette syntaxe le script ne me retournera aucune erreur et integrera bien la page distante vu qu'elle porte le même nom que ma page initiale ?
Me suis je trompé dans mon raisonnement ? Et si non comment puis sécuriser cet include ?
Merci pour votre lecture et votre réponse
Code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
<?php
// Tableau des fichiers à importer
$arrayPages = array(
'index' => 'index.php',
'traitement' => 'traitement.php',
'404' => '404.php');
// La variable $page existe-elle dans l'url ?
if(!empty($_GET['p'])) {
// Vérification de la valeur passée dans l'url : est-elle une clé du tableau ?
if(array_key_exists(strtolower($_GET['p']), $arrayPages)) {
// Oui, alors on l'importe
include(''. $arrayPages[ strtolower($_GET['p']) ] ); }
else { // Non, alors on importe un fichier par défaut
include('404.php'); } }
else {
// Non, on affiche la page d'accueil par défaut
include(''. $arrayPages['404']); }
?> |
