← Segurança

[SEGURANÇA] Includes PHP

Lida 5883 vezes

Offline

Bruno Mota 
Membro
Mensagens 1733 Gostos 3
Troféus totais: 28
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

É normal fazerem-se includes nas nossas páginas em php mas nunca se deve fazer o seguinte

Código: (php) [Seleccione]
<?PHP
$pagina=$_GET[pagina];
include $pagina;
?>

Aquerditem que muitos sites usam este métudo, assim dá para correr scripts esternos correr exploits etc...

A forma mais correta será

Código: (php) [Seleccione]
<?PHP
$pagina=$_GET[pagina];
if($pagina==NULL){
include "inicio.php";}else{
include $pagina.".php"}
?>

ainda melhor é

Código: (php) [Seleccione]
<?PHP
$pagina=$_GET[pagina];
$paginas = array('index.php', 'pagina2.php', 'pagina3.php');
if( in_array($pagina, $paginas) )
{
    include($pagina);
{
else
{
   die("Boa tentativa.");
}
?>
Offline

João Godinho 
Membro
Mensagens 1755 Gostos 2
Troféus totais: 27
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

Eu costumo fazer as includes só assim:
Código: [Seleccione]
<?
include ('pagina.php')
?>
Mas é só para a facil edição do menu e etc.
Offline

Pedro Lopes 
Beta tester
Mensagens 3568 Gostos 18
Feedback +6

Troféus totais: 32
Trófeus: (Ver todos)
Level 6 Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3

Nunca vi nenhum usar essa maneira. :O

Eu em termos de segurança em PHP não sou o melhor, mas essa ai é demais também. lol
Offline

João Godinho 
Membro
Mensagens 1755 Gostos 2
Troféus totais: 27
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

Nunca vi nenhum usar essa maneira. :O

Eu em termos de segurança em PHP não sou o melhor, mas essa ai é demais também. lol
Está a falar de qual?
Offline

Bruno Mota 
Membro
Mensagens 1733 Gostos 3
Troféus totais: 28
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

estas maneiras são utilizadas em querystrings tipo www.site.com/?pagina=sobrenos
Offline

Pedro Lopes 
Beta tester
Mensagens 3568 Gostos 18
Feedback +6

Troféus totais: 32
Trófeus: (Ver todos)
Level 6 Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3

Está a falar de qual?

Do primeiro tópico. É estúpido... lol
Offline

Henrique Mouta 
Equipa
Mensagens 1189 Gostos 3
Troféus totais: 31
Trófeus: (Ver todos)
Level 6 Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4 Level 3

é estupido?
sabes a facilidade que é incluir uma página php externa e por o teu servidor a fazer-lhe pharse? Isto se não usares métodos de verificação. Posso facilmente incluir uma shell e fazer upload de exploits, efectuar o famoso deface, etc etc.
Offline

Pedro Lopes 
Beta tester
Mensagens 3568 Gostos 18
Feedback +6

Troféus totais: 32
Trófeus: (Ver todos)
Level 6 Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3

é estupido?
sabes a facilidade que é incluir uma página php externa e por o teu servidor a fazer-lhe pharse? Isto se não usares métodos de verificação. Posso facilmente incluir uma shell e fazer upload de exploits, efectuar o famoso deface, etc etc.

Eu tava a dizer que é estúpido o primeiro código que ele mostrou como é óbvio.
Offline

Bruno Mota 
Membro
Mensagens 1733 Gostos 3
Troféus totais: 28
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

sim mas existem alguns assim Pedro Lopes eu prorpio digo que é ESTÚPIDO