¿Es este código seguro?

Kwic · #1 (**permalink**) 21/07/2008, 10:27

En mi página web trabajo con includes para dinamizarla. El código que utilizo es el siguiente (no es mío):

Código PHP:

  <? 
if(isset($_GET[seccion])){ 
if(file_exists($_GET[seccion].".php")){ 
include($_GET[seccion].".php"); 
} 
}else{  
include("news.php");  
}  
?>

Pero... ¿es el código seguro?

Obviamente la opción más segura es hacer un switch, pero claro, tendría que ir añadiendo una a una cada posibilidad y es mucho trabajo.

Como no me fio de que el código que uso sea seguro, acabo de hacer este:

Código PHP:

  <?php 
 
$seccion = $_GET['seccion']; 
$path = $_SERVER['DOCUMENT_ROOT']; 
 
$include = $path . "/" . $seccion . ".php"; 
 
if (!$seccion) { 
    include "news.php"; 
} else { 
    if (file_exists ($include)) { 
        include "$include"; 
    } else { 
        include "404.php"; 
    } 
} 
 
?>

A mí me parece más seguro este último pero... ¿qué opináis vosotros?

Saludos

eft0 · #2 (**permalink**) 21/07/2008, 10:39

IMHO: Lo más seguro es definir los archivos php en un arreglo y luego verificar si $seccion corresponde a alguno de ellos, solo entonces hacer el include.

Kwic · #3 (**permalink**) 21/07/2008, 10:41

Sí, bueno, eso sería lo más seguro, pero son muchos archivos y es mucho trabajo, por eso quiero saber si los códigos que puse son seguros y cuál es más seguro ;)

Saludos

eft0 · #4 (**permalink**) 21/07/2008, 10:49

Entre los dos, me quedo con el segundo.