include et vérification dans un array pour la sécurité

Version imprimable

bonjour .
Je suis sur l'apprentissage de php depuis 2 jours ... et je suis un "littéraire".
je maîtrise xhtml /CSS ( +/-correctement?)

J'ai donc un page index.php
avec
Code:

1 2 3 4 5 6 7 8 9 10 11 12 <div id="gauche"> <?php include("menu.php"); ?> </div> <div id="droite"> <?php if (isset($_GET['page'])) $page=$_GET['page']; else $page='1'; require 'page'.$page.'.html'; ?> </div>
et donc un fichier menu.php ( menu html)
Code:

1 2 3 4 <ul id="menu"> <li><a href="index.php?page=1" > Page1</a></li> <li><a href="index.php?page=2" > page2 </a></li> </ul>
Cela fonctionne MAIS il semblerait que cette solution pose un problème de sécurité ????
Cela est-il exact ?

Je devrais avoir en + :
Code:

1 2 3 4 5 $pageOK = array('page1' => 'page1.php', 'page2' => 'page2l.php'); if (isset($_GET['page'])) $page=$_GET['page']; else $page='1'; require 'page'.$page.'.html';
mais ces array semblent complètement ignorés ... Pourquoi ? je ne suis pas encore assez formé pour comprendre seul.

Merci pour votre aide ...
Je continue mon apprentissage ...

Bonsoir,

Exactement, ceci n'est pas du tout sécurisé, pourquoi ?

Car le fait de faire un include en fonction d'une variable récupérée grâce à la méthode GET, va permettre à l'internaute de faire

http://monsite.com/index.php?page=ht...k/viderbdd.php

ou quelque chose du genre, il est très facile de faire des injections SQL par la suite.

Mais je te rassure il y a un moyen très simple de vérifier si la page est sur ton serveur ou si elle est ailleurs. :)

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
if(isset($_GET['page']))
                        {
                        $page = $_GET["page"];
                        $nom_page = $page.".php";
                        $rep = "."; //endroit où je suis 
                        $dir = opendir($rep); //ouverture du dossier
                        while(false !==($file = readdir($dir)))
                            {
                            if($file == $nom_page)
                                {
 
                                break;
                                }
                            }
                        if(!empty($page_exist))
                            {
                            include("./$nom_page");
                            }
                        else
                            {
                            include("default.php"); //j'affiche par défaut cette page
                            }
                        }
            else
                        {
                        include("default.php"); // étant donné que $_GET["page"] n'a pas été déclaré affichage de la page par défaut
                        }

Tu aurais par ailleurs pu mettre toutes tes pages dans des array, le but étant de parcourir ce Tableau et vérifier que la page contenu dans le $_GET est bien dans ce Tableau.

GoT

21/11/2008, 11h29
jalex-jalex

Orientation pédagogique php-sql / supports d'auto-apprentissage

Merci,
En utilisant votre proposition, je vais revoir cette question.
Je ne sais pas lire - comprendre le code et je ne veux pas copier bêtement.
l'apprentissage de (X)HTML et CSS a été très facile. Il me semble que pour PHP je rentre dans du "dur" ( je n'ai jamais pratiqué un language de programmation).

Avant d'adopter PHP/SQL pour mes petits sites "perso" / Je vais donc étudier PHP à l'aide de ce document:
yogui-cours-complet-php ( http://php.developpez.com/cours/)

je reste preneur d'autres références en ligne ou livre.

merci
21/11/2008, 11h40
GoTrUnKo

Bonjour,

PHP n'est pas un langage dur, il est à la portée de tout le monde, le plus dur quelque soit le langage est d'acquérir une certaine logique, cette logique qui vous permettera de prendre en compte tous les paramètres, toutes les failles possibles (ou presque :)).

Dans ce cas là, il est important de savoir ce qu'il se passe :

Nous avons besoin de passer grâce à la méthode GET le nom d'une page.
Vérifier que cette page est bien sur le serveur et dans un certain dossier.
Prendre en compte le fait que si la page n'est pas trouvé, afficher une page par défault.

A partir de là tu as presque tous les éléments pour concevoir une "pseudo-frame" :)

Bon courage pour ton application.

GoT