08/01/2003, 13:27
| ||||
| ||||
| kiero hacer + practico este codigo <?php if ($seccion!="") { include("$seccion"); } else { include("portada.php"); } ?> sirve para q mediante una URL asi PAG.php?seccion=otrapag.php el include cambie para poder incluir archivos distintos solo cambiando la url aora kiero hacerlo + practico como hago para q en vez de poner otrapag.php solo deba poner otrapag ? Última edición por ArrauKano; 08/01/2003 a las 13:58 |
|
08/01/2003, 13:50
| ||||
| ||||
| cabe destacar que es un script muy 'bruto', y en la practica requiere mucho mas trabajo, ya sean validaciones y mas validaciones pues tambien es un potencial riesgo de seguridad, bueno no se que mas practico puede ser, o a que te refieres con 'mas practico'..es acaso 'menos instrucciones'?? pagina.php?cargaURL=contacto Código PHP:
__________________ =PoWeReD By MySeLf!= |
|
08/01/2003, 15:09
| ||||
| ||||
| Podrías usar la sentencia switch Ya han habido varios mensajes similares, y otra de las alternativas a usar sería la sentencia switch, la cual quedaría así: Código PHP: Cita: principal.php?seccion=otrapagina Espero haberte ayudado de algo. Cita: P:D: Este script es muy útil para página pequeñas que no requieren de muchas modificaciones. Saludos. |
|
08/01/2003, 15:40
| ||||
| ||||
| Cita: claro + practico = - instruccionesMensaje Original por e-miliox cabe destacar que es un script muy 'bruto', y en la practica requiere mucho mas trabajo, ya sean validaciones y mas validaciones pues tambien es un potencial riesgo de seguridad, bueno no se que mas practico puede ser, o a que te refieres con 'mas practico'..es acaso 'menos instrucciones'?? pagina.php?cargaURL=contacto Código PHP: no comprendo donde esta el problema de seguridad me explicas? PD: use el del chalito pk era lo q taba buscando PD2: el del cawoq es mas largo por eso no+ no lo use pero tengo otro script parecido q ocupa la base de ese q me diste, gracias, pero ya lo conocia. |
|
08/01/2003, 16:33
| ||||
| ||||
| Código PHP: basicamente para que no te ingresen mierda por la URL, ya que habemos hartos que nos gusta hacer eso para probar que pasa xD te doy un ejemplo que pasaria si cuando usabas el script que pusiste al principio, bueno pues si no le validabas, uno podia aprovechar el include para mostrar cualquier otro archivo dentro de tu directorio web, o incluso del servidor, si no esta este ultimo bien securizado. lalala.lal.com/mostrar.php?url=../../../etc/passwd por ejemplo... bueno esos es solo una de las cosas que puedes hacer, claro esta que es un tipo de ataque muy antiguo y ya casi todos se cuidan (bueno hay otros que no jeje). Tambien existen otros tipos de ataque mas avanzados. por ejemplo la 'inyeccion de codigo' o ultimamente aquellos que se llaman XSS (o cross site scripting), todos estos, o la mayoria, tiene como objetivo obtener datos ajenos o en otros casos como los de la inyeccion de codigo pueden modificar, saturar, espiar, etc los sitios en los que son utilizados. Por ultimo, la mayoria de estos ataques a sitios web nacen principalmente de tres fuentes: la URL, Las Cookies y Los formularios... por eso la inportancia de cuidar y validar bien el ingreso de informacion por parte del usuario, pensemos que todos no haran los que nosotros creemos y habra otros que seran aun mas curiosos... :) espero te hayaaclarado u poco la pelicula, un saludo.
__________________ =PoWeReD By MySeLf!= Última edición por e-miliox; 08/01/2003 a las 16:46 |
|
08/01/2003, 17:02
| ||||
| ||||
| pero como es un include si la url ta mala va a mostrar el tipico error de q el include_path ta malo si fuera por otra via como por ejemplo poner la URL de la carpeta se veria la index (pk protegi todas las carpetas de esta forma dado q no tengo acceso shell o telnet para ver el .htaccess) y si poni un pag q no existe error 404 por eso no me preocupa mucho pero = vale por la explicacion pk si la entendi bien |
|
08/01/2003, 21:58
| ||||
| ||||
| ArrauKano, disculpame, pero no entendiste la Explicación. La manera en la que estaás incluyendo código, no solo es un serio bug en tu script, sino que es uno de los más viejos y utilizados. Si tu pusieras en tu script algo como Tu_pagina_insegura.php?pagina=../../../../../etc/passwd\0 Entonces, según tu script : Código PHP: include("../../../../../../etc/passwd\0.php"); El \0 es el caracter de fin de linea, porque lo que la linea quedaria trunca al terminar el directorio que el usuario puso, y mostraria el archivo /etc/passwd de tu webserver. Por eso, es que varios usuarios te están recomendando que seas más cuidadoso con los scripts que usas porque pones en riego todo el webserver. Por ahora, la solución más acertada que te pasaron, es la de kawoq, así que te recomiendo que hagas un poco más de esfuerzo y utilices esa. Suerte. |
|
08/01/2003, 22:17
| ||||
| ||||
| creo que la manera mas practica de controlar todo esto es teniendo en un array las secciones a las que s epuede hacceder, luego solo se pregunta si la seccion que pasaron esta en el array, si esta, hace lo que ya tienes, y si no, muestra el error, ejemplo Código PHP: |
|
09/01/2003, 11:21
| ||||
| ||||
| Cita: pense en este codigo + simpleMensaje Original por chalito creo que la manera mas practica de controlar todo esto es teniendo en un array las secciones a las que s epuede hacceder, luego solo se pregunta si la seccion que pasaron esta en el array, si esta, hace lo que ya tienes, y si no, muestra el error, ejemplo Código PHP: pero no funca  |
|
09/01/2003, 11:30
| ||||
| ||||
| hazlo de esta forma Código PHP: PD: soy chalito, solo que ya pude recuperar mi nick antiguo, chalito nunca me gusto
__________________ se despide hasta la proxima Gonzalo Castillo Última edición por goncafa; 09/01/2003 a las 11:33 |
|
09/01/2003, 18:20
| ||||
| ||||
| alguien probo los codigos antes de postear? ninguno me funciono ( tenganme paciencia, aun no aprendo vien el php (recien toy partiendo) ) |
