duanlai1855 2017-11-15 13:26
浏览 45
已采纳

PHP安全地包含文件+处理无效参数

I'm having a little problem. I want to securely include files based on the $_GET Parameter from a subdirectory + handle if the parameter is not valid.

 <?php
if(isset($_GET['p']) && $_GET['p'] == 'fahrzeuge'){
        include 'includes/cars.php';
    }
  if(isset($_GET['p']) && $_GET['p'] == 'impressum'){
        include 'includes/impressum.php';
    }
    if(isset($_GET['p']) && $_GET['p'] == 'home'){
            include 'includes/home.php';
        }
      if(isset($_GET['p']) && $_GET['p'] == 'anfahrt'){
            include 'includes/anfahrt.php';
        }
        if(isset($_GET['p']) && $_GET['p'] == 'about'){
                include 'includes/about.php';
            }

?>

This is my Code. Sorry I know it is a noob way of solving this. How can I improve it? Any Suggestions/Help would be highly appreciated

  • 写回答

2条回答 默认 最新

  • doubi4491 2017-11-15 13:44
    关注

    I would use a ternary to set a variable that tells the page what to include.

    This is very similar to Ofir Baruch's answer, except much shorter.

    $pages = array('about','contact','home');

$p = isset($_GET['p']) && in_array($_GET['p'], $pages)? $_GET['p'] : 'home';
include "includes/{$p}.php";

    Basically, you have an array of pages that are possible. In the ternary, we check if $_GET['p'] is set (isset()), AND we check if the value it contains is in the array. If it is, we use $_GET['p'] as $p, if it is not, we set $p to home, this means that home will always be the default if $_GET['p'] is not set, or not a valid page as per the array.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

  • 文件包含漏洞+php伪协议
    2021-11-11 21:46
    Z3eyOnd的博客 phar://协议8..file协议日志包含介绍利用条件漏洞利用流程日志文件路径远程文件包含条件流程PHPSESSION包含包含/proc/self/environ文件包含临时文件过程包含上传文件绕过类型指定后缀绕过利用长度截断%00截断url...
  • PHP多个文件上传到服务器实例
    2020-10-25 07:51
    需要注意的是,文件上传可能会带来安全风险,比如上传的文件可能包含恶意代码,因此在处理上传文件时应确保安全性。例如,上传的文件应该保存在服务器上专门的目录中,并且对上传的文件类型、大小进行严格的限制和...
  • php文件服务实现虚拟挂载其他目录示例
    2020-10-26 01:19
    尽管脚本中已经包含了一些安全措施,如对路径的验证和防止目录遍历攻击,但在实际部署时,仍然需要对输入参数进行彻底的过滤和验证,以确保服务的安全性。此外,由于示例代码中使用了不常见的编码方法,需要确保在...
  • HTML+PHP+数据库实现注册登录
    2022-12-04 19:46
    在项目中,"qia.jpg"、"99.jpg"、"xiao.jpg"可能是用于装饰或验证码的图片文件,它们增加了用户界面的友好性,也可能用于提高安全性,例如防止自动化登录尝试。 总的来说,这个项目涵盖了Web开发中的基础技术,包括...
  • PHP手机归属地查询 v1.0
    2020-10-08 05:27
    3. **数据验证**:在处理任何请求之前,PHP需要验证手机号码的有效性,避免无效输入或潜在的安全威胁。这可能包括检查号码长度、格式,甚至进行更复杂的验证规则。 4. **响应格式化**:API的响应通常以JSON...
  • PHP安全表单示例
    2021-02-08 01:47
    当遇到无效的表单提交或安全问题时,正确的错误处理和日志记录能帮助开发者快速识别和修复问题。不要直接向用户显示敏感的错误信息,而应提供一般性的错误提示,并在后台记录详细的错误日志。 6. 文件上传安全: ...
  • 修改php.ini不生效问题解决方法(上传大于8M的文件)
    2020-12-19 08:50
    - `max_input_time`: 表单数据处理的最大时间,包括文件上传。 - `error_reporting`和`display_errors`: 这些设置可以帮助调试上传错误,确保在开发环境中它们能显示错误信息。 在进行文件上传操作时,除了配置文件...
  • 从零构建一个基于PHP和MySQL的文件管理系统
    2024-11-07 22:29
    「已注销」的博客 PHP用于处理文件的上传、下载和展示,MySQL用于存储文件的元信息,前端组件提供用户界面。主界面- 用于展示文件列表和操作按钮。数据库配置- 配置MySQL数据库连接信息。文件上传API- 提供文件上传接口,处理文件存储...
  • 一道关于php文件包含的CTF题
    2024-08-27 16:29
    槐序深巷里打雨伞的人的博客 这是index.php的页面。点击login后会发现url里多了action的参数,那么我们就可以通过它来获取源码。?再通过base64的解码可以查看源码。
  • 基于PHP的ajaxfileuploadjcrop插件完美实现头像上传剪裁源码.zip
    2023-07-29 17:24
    该系统应该包含对各种可能错误的处理,如文件上传失败、裁剪参数无效等,以便向用户清晰地显示错误信息。 9. **用户体验**:为了提供良好的用户体验,前端代码可能利用AJAX技术实现了无刷新的上传和反馈,以及实时...
  • 没有解决我的问题, 去提问