Importante Falla De Seguridad !!

Em mi pagina web he puesto este codigo para hacer "include" de mis archivos pero me he dado cuenta que este script es vulnerable ya que se puede hacer include a archivos externos ala web como puedo hacer para que no se incluyan archivos externos ala web..
<?

if($pagina== "") { ////variable para incluir la pagina

include("home2.php"); ///pagina default

}
else {

if(file_exists("$pagina.php")) { ///si la pagina existe incluirla

include("$paginaphp");
}
else {

echo("<center>El enlace no existe</center><br><br>") ;///mensaje si no existe el archivo
}
}
?>

PERO COMO LE AGO PARA QUE NO EJECUTE SCRIPTS QUE NO SEAN DE MI WEB..

- Haz uso de switch() en vez de if->elseif->else... : www.php.net/switch
- Usa variables superglobales... no muestras cómo recojes la variable $pagina: http://www.forosdelweb.com/showthrea...989#post238989
- ... Web's modelares?? cheka el artículo al respecto de www.zonaphp.com

Suerte!

GRacias por tu aportacion pero esque antes ya avia utilizado esa funcion pero el problema esque como tengo muchos archivos.php tengo que escribirla cientos de veces y php no me leeia esa funcion despues de determinado numero de lineas con esa funcion y era un problema.
Y por eso opte por usar la otra funcion pero cuando me di cuenta del gran ollo de seguridad que deje me di unos golpes de cabeza ya que si ubieran detectado esta vulnerabilidad ya ubieran hackeado la web.

Por eso recurro a su ayuda como puedo complementar esta funcion para que no ejecute scripts ajenos a mi web..

ejém.... ¿? ¿qué función?????...

Si algo vaz a implementarlo en varios scripts sacale probecho a la función (esa sí ) include().
www.php.net/include

A modo de truco facil, tu sabes que para ser interno no debe tener nada como http://, entonces en tu cadena busca y limpia eso, algo como:

if($pagina== "") { ////variable para incluir la pagina

include("home2.php"); ///pagina default

}
else
{

//asegurarte que no es un URL hacia otra pagina
$pagina = str_replace("http", "", $strPagina);

if(file_exists("$pagina.php")) { ///si la pagina existe incluirla

include("$paginaphp");
}
else {

echo("<center>El enlace no existe</center><br><br>") ;///mensaje si no existe el archivo
}
}

Me refiero ala funcion switch()

Si estas pasando URL con todo y tu dominio, entonces puedes asegurarte que la liga tiene tu dominio, algo como:

Ejemplo, tu dominio es: www.tudominio.com

$Pos = strpos($pagina, "www.tudominio.com");

if ($Pos === false)
{

sabes que no encontraste tu dominio en la liga, entonces esta mal y te estan tratando de incluir externos.

}

Suerte!!

Gracias amigo eso es lo que buscaba

Tambien gracias jam1138 tal ves no me explique bien pero gracias por tu atencion.

Ten cuidado también con la inclusión de archivos de tu própio sitio que no desees que se incluyan .. por ejemplo un "configuracion.inc" .. o similar podría desvelar datos (como de conexión a tu BD contraseñas y demás) que baja ningún concepto te interesaría que se viesen.

Lo ideal es tener al menos una lista de los nombres de tus scripts que seran restringidos .. eso lo puedes hacer con un array() y ver si está el nombre del archivo que se está pidiendo en dicho array (con in_array()) antes de hacer tu include() "a ciegas".

Por lo demás .. no sé que tipo de contenido gestionas .. pero si tienes tantos "cientos" de escripts/páginas .. ya sería hora tal vez de replantear el sistema (tu sitio) y ver como organizar esa información por ejemplo gestionandola desde Base de datos y sus consultas SQL .. esto plantea a su vez otros beneficios (como implementación de buscadores .. etc).

Un saludo,