Sicurezza Passaggio Variabili

[virusbye]

Salve a tutti...

io di solito utilizzo una pagina template.php per creare tutta la grafica e poi gli passo il nome della pagina html che deve aprire...

ecco il codice:

Codice PHP:

<? 
include("head.php");
$pagina = $GET['pagina'];
include("$pagina.htm");
include("foot.php");
?>

(sono andato a memoria perche' non ho il file disponibile), cmq il codice è più o meno cosi'... quindi, se io richiamo la pagina

template.php?pagina=pippo

lui mi include la pagina pippo.htm che è nella directory locale.

Ecco la domanda, il mio hoster dice che riescono ad entrare grazie a questo script, come posso fare affinchè questo file non possa essere utilizzato per includere codice da siti esterni ed eseguire codice php generico?

[PaTeR]

Originariamente inviato da virusbye
Salve a tutti...

io di solito utilizzo una pagina template.php per creare tutta la grafica e poi gli passo il nome della pagina html che deve aprire...

ecco il codice:

Codice PHP:

<? 
include("head.php");
$pagina = $GET['pagina'];
include("$pagina.htm");
include("foot.php");
?>

(sono andato a memoria perche' non ho il file disponibile), cmq il codice è più o meno cosi'... quindi, se io richiamo la pagina

template.php?pagina=pippo

lui mi include la pagina pippo.htm che è nella directory locale.

Ecco la domanda, il mio hoster dice che riescono ad entrare grazie a questo script, come posso fare affinchè questo file non possa essere utilizzato per includere codice da siti esterni ed eseguire codice php generico?

Non ho capito molto bene... prova a spiegarti meglio...
Comunque dal tuo sito puoi sempre fare un passaggio tramite post con un bottone (cambiando la sua grafica con un css) oppure fai un controllo sulla pagina di provenienza e ti comporti di conseguenza...

[VaLvOnAuTa]

Se tu sai dove trovare la pagina inclusa (esempio nella cartella ./includes/html/) puoi fare un check con file_exists("./includes/html/".$_GET['pagina']);