Forum d'entraide PHPFrance

Bonjour
J'ai un site où j'inclus mes pages comme ceci :

if(isset($_GET['page']) AND file_exists($_GET['page'].'.php')){
	
	include $_GET['page'].'.php';
	}
else {include('acceuil.php');}

Et si dans l'url je fais par exemple index.php?page=../un fichierexistant

donc d'un autre répertoire, il s'inclut bien.
Je me demande comment éviter ça ?
En clair comment faire pour que le fichier à inclure soit existant, mais dans le dossier en cours...

Autrement qu'en faisant un truc de ce style :
if ($page == connection) {include('connection.php;}
if ($page == fichier) {include('fichier.php;}
etc...
parceque la liste serait longue.
Merci

Tu vérifie qu'il n'y ai pas le caractère \ dans l'url

Vu que c'est le séparateur dans une url, s'il n'est pas présent, c'est qu'on est dans le même répertoire

Ou de caractère /

autant pour moi

Salut,

Perso, j'utilise une methode qui marche bien lol :

voici le code

<?php

if(isset($_GET['page']))
{
include('/pages/'.$_GET['page'].'.php');
}

?>

En fait je place juste toutes les pages de mon site dans un repertoire, et perso sa marche bien, enfin moi je propose sa, mais c'est a toi de voir

ou sinon la methode que jutilisai au debut, ( phpdebutant )

on créé un tablo avec toutes les pages autorisé

et apres on verri si la page se trouve bien dans le tableau, si oui, on l'inclu

http://phpdebutant.org/article68.php

Voila j'espere t'avoir aidé

Tu vérifie qu'il n'y ai pas le caractère \ dans l'url

Et oui en fait c'est tout c**

Mais là il s'agit d'une partie que je ne maitrise vraiment pas, alors je ne sais comment faire.
Pourriez vous me dépanner, ou m'indiquer où je peu trouver un petit "cours" là dessus ?

En tout ca merci beaucoup.

Désolé pour le message précédent, j'ai pas vu que je n'étais pas connecté.

Au final j'ai fais ça :

if (eregi("/",$_GET['page'])){include('acceuil.php');}
else {
	if(isset($_GET['page']) AND file_exists($_GET['page'].'.php')){
		include $_GET['page'].'.php';
		}
	else {include('acceuil.php');}
}

Ca fait pas terrible mais ça marche.

 <?php

if(isset($_GET['page']) && file_exists('/pages/'.$_GET['page'].'.php'))
{
// On place toutes les pages du site dans le repertoire /pages
include('/pages/'.$_GET['page'].'.php');
}
else
{
include('home.php');
}
?>

Je pense que c'est une des meilleurs solution niveau securité, enfin a toi de juger

@mafio : et si je donnes la valeur '../autre/rep/fichier.php' ça va fonctionner sauf qu'on sort du répertoire page

Je pense que la détection du caractère / est indispensable

Ensuite, pour une simple recherche de caractères, strpos() sera plus performant que eregi()

if (strpos("/",$_GET['page']) === FALSE){
  include('acceuil.php');
} else {
    if(isset($_GET['page']) AND file_exists($_GET['page'].'.php')) {
        include $_GET['page'].'.php';
    } else {
      include('acceuil.php');
    }
}

Personnellement, ce n'est pas le caractère "/" que je recherche, mais les "../" (voire juste "./").

Cela me permet de structurer le dossier dans lequel sont les pages avec d'éventuels sous dossier (plus pratique à mon sens pour m'y retrouver dans mes pages ).

La variable $_GET['page'] peut ainsi prendre la valeur dossier/page pour aller chercher la page "page.php" du dossier "dossier", mais jamais remonter dans les dossier parents

Bonjour

pour une simple recherche de caractères, strpos() sera plus performant que eregi()

J'étais donc pas loin.
Merci à tous.

@Ryle : pas con ton idée

J'aime bien. On pourrait se limiter à la recherche de './' ('../' etant inclu) et on peut permettre une arborescence.