Allora... passo tramite get un valore a una variabile chiamata $site. Questa variabile $site è il nome della pagina .php che poi includo in una tabella.
Il problema è che chiunque può modifica nell'url da www.sito.it?site=index a www.sito.it?site=http://www.quellochevuolelui.
questo è un bel problema per la sicurezza!
Finora ho risolto controllando se la pagina che includo ha uno dei nomi da me assegnati:
Questo metodo però mi costringe ad aggiungere ogni volta che creo una pagina php il suo nome alla lista sopra riportata. Mi consigliate un altro metodo per controllare se il file che includo proviene dal server o da un altro sito?Codice PHP:$site = strtolower( $site );
if ( $site == "database" || $site == "news" || $site == "link" || .... { /*include la pagina*/ } else { /*riassegna a $site il valore "news" prima di includere */}
Grazie, ciao!
Rispondi quotando
