Problema stupido...

[Baio]

Salve a tutti,
lo so che per molti il mio sarà un problema stupido... ma sono quì per imparare.
Voglio creare un sito dinamico, che mi richiami dall'home page una serie di pagine in php, nella parte centrale di una tabella.
Bene. Ho posto in testa al codice dell'home page, anch'essa in php, il seguente codice:

Codice PHP:

<?php 
$pagina=$_GET['p'];
if (empty($pagina)) {
$pagina="main.htm";
?>

E poi, nella parte centrale, dove voglio far apparire la pagine, richiamo il GET:

Codice PHP:

<?php include "$p"; ?>

Mi da errore! Se ci metto i "php" mi dà il seguente errore:
Parse error: syntax error, unexpected $end ---> ultima riga
Se ci tolgo i "php" la parte centrale appare vuota

Aiuto.
Grassie!

[Emulman]

nella riga

if (empty($pagina)) {

c'è una aprentesi graffa aperta ma non quella di chiusura, quindi PHP non sa dove finisce il blocco e continua a considerare quel che scrivi dopo la graffa come facente parte del blocco dell'istruzione IF!

[Baio]

Allora,
ho corretto:

Codice PHP:

<?php
$pagina=$_GET['p'];
if (empty($pagina)) {
$pagina="main.htm";
}
?>

Solo che ora nel corpo della tabella dove ho posto l'include, nn mi appare nulla...
Sapete dirmi il perche?
Grassie!

[Baio]

Volevo aggiungere che se qualcuno conosceva un modo alternativo di giungere a quello che desidero, si faccia pure avanti!
Grassie ancora!

[absolom]

Forse al posto di

include "$p";

devi mettere

include "$pagina";

[hcka]

Perché includi $p e non $pagina come l'hai chiamata in testa al documento?

[Baio]

Originariamente inviato da absolom
Forse al posto di

include "$p";

devi mettere

include "$pagina";

Grazie divero cuore... anche a tutti coloro che hanno scritto.
Vi sono debitore.
Ciao!

[IroN@xiD]

Si, sei debitore di una bella iniettata di codice malevolo :rollo:
Non si fa, non si fa ragazzi!!

Non si fanno gli include diretti dall'input dell'utente, è il peggior buco di sicurezza che potete aprire sul vostro sito.

Include() in certe versioni/configurazioni di php funziona pure con il wrapper http... quindi basta che qualcuno passi come variabile GET il percorso ad un file che avrà preparato con il suo codice malevolo (per esempio qualcosa che scorre le cartelle e cancella tutto quello che incontra) e siete fritti.
Inoltre anche senza il wrapper http costituisce comunque un grave problema di sicurezza. Il malintenzionato potrebbe includere tutti i file che vuole, senza restrizioni (vedi basedir) potrebbe leggere nella peggiore delle ipotesi persino le vostre password.
Nella migliore delle ipotesi potrà includere e far eseguire tutti i file che riesce a raggiungere. Potrebbe far andare in output file come .htaccess o altre informazioni riservate.

Non fatelo mai.
Soprattutto perchè qualcuno potrebbe prendere il controllo del vostro spazio web (anche del server) senza darvi modo di rendervene conto ed usarlo per esempio come base per lo spamming o altri tipi di attività poco raccomandabili.

per approfondimenti leggi qui

[gm]

La prossima volta dai alla discussione un titolo a norma di regolamento, grazie