Evitar acceso a páginas incluidas()

Hola a todos.

Tengo un sitio web realizado tipo plantilla, donde el diseño se ecuentra en index.php y las distintas secciones son llamadas mediante index.php?go=seccion.

Aca les pongo el code:

Mi problema... es que no se cómo hacer para que no se pueda acceder directamente a los archivos correspondientes a las secciones.

Si entramos a index.php?go=muestras entonces se incluye() el archivo muestras.php. Pero si entramos a muestras.php directamente...se verá el contenido de dicho archivo y no quiero que eso pase.

He estado pensando como validar eso, pero no se me ocurre nada. Ni con sesiones, ni cookies funciona. Con variables sencillas no funcionaría, ya que cualquier usuario podría colocar la variable via URL en caso de que el servidor tenga register_globals=on.

Tantas horas de trabajo me han frustrado. ¿se les ocurre algún buen método para resolver este agujero de seguridad?

Mil gracias y un saludo!

Que tal restringir la navegacion del directorio en donde guardas los includes?
Otra podria ser poner una variable "bandera" en la pagina que hace el include, y luego dentro de main.php verificar su valor.
Por ejemplo

index.php
---------
$x=true;
include('main.php');

main.php
---------
if ($x==true)
seguimos;
else
paramos;

No, no funcionaría...porque facilmente mediante la URL podría poner algo asi:

main.php?x=true

Lo cual me daría acceso total a main.php

¿Ves? ese es mi dilema!... y más aun cuando el server tiene register_globals=on.

COn respecto a..."Que tal restringir la navegacion del directorio en donde guardas los includes?"....¿Cómo se hace eso?... me acabas de dar una muy buena posibilidad...

Podría hacer... que UNICAMENTE se acceda al index.php, y ninguno de los demás archivos puedan ser accesados directamente.

Supongo que debe ser algo con el htaccess del Apache.

PD: USO APACHE.

una solucion facil y efectiva es poner seguridad a los directorios donde almacenas esos ficheros(carpeta includes), cosa que no podran llamar directamente a ellos.

Lo mejor es setear una variable en la pagina principal, luego en cada inclusion agregas la siguiente condicional:
Ya que si acceden directo a la pagina includa la variable no va a estar seteada, por lo que los rebota y los manda a la principal.
Espero te sirva, es lo q se me ocurre ahora en el momento.
Suerte

AlvAro

Me parece buena idea... y se complementa con lo que dice boxin. Pero tendría que meter todos mis archivos dentro de otra carpeta y dejar el index.php solito en root.

Ok, por eso no habría problema. ¿Pero te refieres a ponerle contraseña al directorio?... las contraseñas son vulnerables.

¿No habrá una directiva del Apache para restringir un directorio?...

¿Servirá Deny?... podríamos poner un .htaccess dentro de la carpeta includes con el siguiente contenido:

deny from all

para darle seguridad a los directorios tienes dos opciones:
1. si eres administrador del hosting puedes hacerlo via el Cpanel en caso lo tuvieses o alguna otra herramienta alternativa
2. via script que te asegura tus careptas con login y passs:
http://www.hospedanet.net/access.rar

como funciona:
primero colocas el access.php en la carpeta que deseas proteger .
luego la abres de tal modo www.tudominio.com/carpeta/access.php
y le das sobre Neuen Admin-Bereich erstellen , que significa que quieres crear un nuevo administrador con acceso .
la carpeta que deseas proteger tienes que darle el permiso 777 y luego pulsas sobre Bereich mit nur einem User anlegen ahora tienes que poner en las 4 casillas
Vergib einen Namen für den Bereich (max. 30 Zeichen):
aqui pones el nombre de la carpeta por ejemplo /galopin

Gib den Usernamen ein: nombre del usuario para acceder a la carpeta

Gib das Passwort zweimal ein: aqui pones 2 veces la contraseña y cuando lo tengas le das a speichern que es guardar . y luego intentas entrar a la carpeta

saludos

sktrpunk el valor de esa variable se puede dar por URL... y se vulnerabiliza el sistema completamente. Ese método no es seguro del todo.

Lo encontré... podríamos poner dentro de la carpeta includes un .htaccess con este code:

<Files *.php>
order deny
deny from all
</Files>

Y listo !!!... nadie accede a ese directorio!...

Más info en: http://www.iss.soton.ac.uk/info/www/access/filedir.html

Si se les ocurre otra idea... será bienvenida.

PD: ¿Quedé con la curiosidad... sin meter los archivos en una carpeta aparte se podrán bloquear y permitir el acceso solo al index.php?

En la página que les di dice como bloquear cada archivo individualmente... pero eso es un fastidio.

De todos modos la solución que te plantea sktrpunk deberías utilizarla también.
Aunque yo lo hago con constantes.... pero es lo mismo.
En el index.php.
Y en cada archivo .php que vas a incluir pones al comienzo:Saludos

¿Y las constantes se pueden definir por URL?... o solo mediante el archivo?... si es solo mediante el script sería una excelente solución.

Jajajajaj miren esto:

http://ve.php.net/manual/es/function.defined.php

This can be useful if you want to protect pages which get included from outsiders eyes, on your mail page (the page viewable by people) put define("X", null); then on all your other pages, you can then do something like:

if (!defined("X")) {
echo "You Cannot Access This Script Directly, Have a Nice Day.";
exit();
}

And your page is a good as protected :)

el método con el .htaccess no funciona. Si hacemos eso... cuando index.php incluya() al archivo dará un error INTERNAL SERVER ERROR. Por lo tanto... ha quedado descartada la opción del .htaccess.

Otra cosa... sería bueno además que no pases el nombre de archivo por la URL...
Lee este post:
http://www.forosdelweb.com/showthrea...075#post776801
También los siguientes donde Cluster recomienda unos artícuos bastante buenos sobre seguridad.
Saludos

Justamente por eso se utilizan constantes.

Saludos

Perfecto... entonces haré lo que dicen con respecto a los archivos. Usando los identificadores para evitar que accedan a algún otro archivo importante via URL.

Un saludo y gracias.!