Direccion algo.com/?Algo (SEGURIDAD)

pau8000 · #1 (**permalink**) 03/01/2004, 21:13

Hola. Con el siguiente codigo se hace que por ejemplo, al apuntar dominio.com/?Juegos busque juegos.php en la raíz y lo incluya con un include.

Código PHP:

 
  <?  
if (isset($REQUEST_URI)) {  
     $seccion = explode("?",$REQUEST_URI);  
     if (isset($seccion[1])) {  
         $carga = explode("&",$seccion[1]);  
         if (file_exists(strtolower($carga[0]) . ".php")) { include(strtolower($carga[0]) . ".php"); }  
         else { include("inici.php"); }  
     }  
     else { include("inici.php"); }  
}  
?>

Me gustaria saber como modificarian el codigo para que sea más seguro y nadie lo pueda utilitzar "desde fuera", es decir, que si ponen dominio.com/?direccion_Web_maligna no se ejecute un archivo php externo.

Gracias

jpinedo · #2 (**permalink**) 03/01/2004, 21:20

Sobre las webs modulares, webstudio hace poco publicó un artículo en zonaphp.com...

Hubo una discusión al respecto acá:
http://www.forosdelweb.com/showthrea...hreadid=166843

Y este es el link al artículo:
http://zonaphp.com/articulo34.php

Saludos

pau8000 · #3 (**permalink**) 03/01/2004, 21:55

Gracias jpinedo, pero yo lo que me gustaria saber es como evitar que entren archivos php desde fura el server (si te fijas mi codigo abre qualquier variable que le entres como archivo php), y por eso es lo que me preocupa.

Gracias

jpinedo · #4 (**permalink**) 03/01/2004, 22:20

Una pequeña medida de seguridad, podría ser, por ejemplo, tener un array con los valores válidos.

Código PHP:

  $valores_validos = array('index', 'juegos', 'articulos', 'tutoriales'); 
//Luego.. después de desmenuzar la cadena con los explodes,  
//utilizas la función in_array() y verificas que el valor que se ha 
//ingresado, está dentro del array. 
 
if(in_array($carga[0], $valores_validos)){ 
     //Ejecutas lo que sigue en tu código 
}else{ 
     //Detienes la ejecución 
     die("No tienes acceso a esta sección"); 
     //O simplemente rdireccionas al index 
}

Saludos