include

[tiziana]

ciao a tutti!

Ho creato una pagina dove ho inserito il seguente scripr:

<?php
if (isset($page))
{ include $page;}
else
{ include "home.html"; }
?>
nei link del menu ho inserito ad esempio href="?page=partners.html" ma mi carica sempre la prima pagina cioè la home.html anche se nella barra del browser il percorso me lo da giusto....

dov'è l'errore? potrebbe dipendere daò server?


grazie a tutti

[luca200]

if (isset($_GET['page'])) {
include($_GET['page']);
}

Questo risolve il tuo problema, ma un codice scritto in questo modo è una porta spalancata a chiunque voglia massacrare il tuo sito

[tiziana]

ti ringrazio tanto... come mai di dava quell'errore? lo avevo inserito momentaneamente sul mio server e funzionava tutto... poi l'ho messo su di un altro e dava quell'errore....

perchè dici che è vulnerabile?

grazie ancora

[luca200]

Evidentemente il tuo server usava le register_globals, ormai sconsigliate da decenni e spesso inattive da anni.
Il codice è pericoloso perché chiunque potrebbe scrivere qualsiasi cosa al posto di quel parametro, visto che tu non ne controlli il contenuto. Ad esempio farti includere un file php remoto che tira fuori a video le password del tuo server. Tanto per dirne una a caso eh

[tiziana]

ORKOCAN!
e come posso fare per renderlo meno vulnerabile?

[luca200]

Te l'ho detto, devi controllare cosa c'è dentro.
Fossi in te userei dei numeri invece del nome della pagina. Ad ogni numero associ una pagina. In quel modo sei sicura che le pagine che si potranno aprire sono solo quelle che hai previsto.

[mtx_maurizio]

Luca ha ragione, sono cose molto pericolose. Tecnicamente si chiamano remote file inclusion (RFI), se vuoi approfondire

http://www.mtxweb.ch/php_learn/?p=851

Inoltre ti consiglio anche di approfondire il perchè register_globals dovrebbe essere disattivato

http://www.mtxweb.ch/php_learn/?p=895

[tiziana]

grazie a tutti! seguirò i vostri consigli!