include su variabile GET

[spizzico7]

ciao a tutti il titolo non spiega molto bene il problema però cercherò di essere il più chiaro possibile....
Allora ho una pagin php sattamente l'index che contiene dei pulsanti rollover:

codice:

<div align="right"> onmouseout="MM_swapImgRestore()" onmouseover="MM_swapImage('Visualizza','','img/bt_vis_roll.gif',1)">[img]img/bt_vis.gif[/img]</div>

e una parte che logicamente riceve e dovrebbe richiamare degli include:

Codice PHP:

$page=$_GET['page'];
if($page == "vis");
{
include("vis.php");
}
if($page == "ins")
{
include("ins.htm");
}
if(! $page){
echo("");
} 


allora il problema è semplice alla prima apertura della pagina viene innanzi tutto visualizzato un Notice di undefined index $page e sempre al primo caricamento viene chiamata comunque una pagina anche se la variabile non è stata valorizzata..
Spero possiate aiutarmi.

[spizzico7]

chi mi aiuta?

[mtx_maurizio]

Innanzi tutto le inclusioni dinamiche tramite GET, se non correttamente implementate, danno luogo a delle voragini di sicurezza. Leggi attentamente questo articolo:

http://php.html.it/guide/lezione/298...ia-get-o-post/

il notice lo risolvi verificando il settaggio di $_GET['page']

if(isset($_get['page']))

[spizzico7]

il problema della sicurezza in questo caso non è primario perchè è semplicemente un fatto di cambio pagina...ma come faccio a far visualizzare niente o comunque una pagina che voglio richiamandola con GET?

[gta3!]

Originariamente inviato da spizzico7
il problema della sicurezza in questo caso non è primario perchè è semplicemente un fatto di cambio pagina...ma come faccio a far visualizzare niente o comunque una pagina che voglio richiamandola con GET?

Il codice che hai scritto non presenta nessun problema. Potresti creare una pagina "prova.php" fatta in questo modo:

Codice PHP:

<div align="right">[url="<?php"] onmouseout="MM_swapImgRestore()" onmouseover="MM_swapImage('Visualizza','','img/bt_vis_roll.gif',1)">[img]img/bt_vis.gif[/img][/url]</div>

e poi una "chiama.php" che ti mostra la pagina richiesta

Codice PHP:

<?php
$page=$_GET['page'];
if($page == "vis");
{
include("vis.php");
}
if($page == "ins")
{
include("ins.htm");
}
if(! $page){
echo("");
}
?>

il problema della sicurezza in questo caso non è primario perchè è semplicemente un fatto di cambio pagina

Proprio per questo hai un problema di sisucrezza, non tanto in questo script perchè è strutturato in un certo modo, ma se fai un cosa del tipo:

Codice PHP:

<?php
require($_GET['page']);
?>

diventa particolarmente pericoloso

[elmapomapo]

Originariamente inviato da spizzico7

Codice PHP:

$page=$_GET['page'];
if($page == "vis");
{
include("vis.php");
}
if($page == "ins")
{
include("ins.htm");
}
if(! $page){
echo("");
} 


Quoto mtx_maurizio per il suo post, stai generando una falla con quel codice.
Modificalo cosi:

Codice PHP:


strip_tags($_GET['page']);

if($_GET['page'] == "vis");
{
include("vis.php");
}
if($_GET['page'] == "ins")
{
include("ins.htm");
}
if(!$_GET['page']){
echo("");
} 


[gta3!]

Originariamente inviato da elmapomapo
Quoto mtx_maurizio per il suo post, stai generando una falla con quel codice.
Modificalo cosi:

Codice PHP:


strip_tags($_GET['page']);

if($_GET['page'] == "vis");
{
include("vis.php");
}
if($_GET['page'] == "ins")
{
include("ins.htm");
}
if(!$_GET['page']){
echo("");
} 


Scusa, permettimi una domanda: perchè l'utilizzo di strip_tags? Siccome la pagina viene presa e messa in variabile (almeno come succedeva prima), essendo poi una serie di condizioni, non si richia nulla...almeno a vedere il codice mi pare pulito...

ad esempio...

index.php?page=aaa

Codice PHP:

$page = $_GET['page'];
if($page=="aaa") print("ok"); else print("no"); 


nel caso appunto che la pagina si chiama "aaa" visualizzo "ok", altrimenti visualizzo "no". Mi pare che un codice del genere non ha problemi...no? Qualsiasi altra cosa inserisco, compresi caratteri speciali o altro, il risultato sarebbe sempre "no". Quindi dov'è la possibile falla?

Scusami ma non capisco

[elmapomapo]

Per come la vedo io è meglio prevenire ogni falla e questo non può far altro che gioviarti.

Metti caso che un giorno vuoi fare: la tua pagina corrente è: $_GET['page'] .
Lì sei ultra-vulnerabile se non fai gli strip_tags.

Se non sai come essere vulnerabile: XSS .

[gta3!]

Originariamente inviato da elmapomapo
Per come la vedo io è meglio prevenire ogni falla e questo non può far altro che gioviarti.

Metti caso che un giorno vuoi fare: la tua pagina corrente è: $_GET['page'] .
Lì sei ultra-vulnerabile se non fai gli strip_tags.

Se non sai come essere vulnerabile: XSS .

Ah oki sisi così ti do perfettamente ragione
Pensavo ci fosse qualche altro tipo di problematica sul codice e non capivo


Grazie

[spizzico7]

[b]

Codice PHP:


strip_tags($_GET['page']);

if($_GET['page'] == "vis");
{
include("vis.php");
}
if($_GET['page'] == "ins")
{
include("ins.htm");
}
if(!$_GET['page']){
echo("");
} 


allora ho provato a fare come dici tu ma mi da errore esattamente mi da Notice: undefined index page.
e comunque continua a chiamarmi una delle pagine anche se non è stato passato nessun valore...