ต่อไป »

[siamman]

จาก hปปp://www.thaihosttalk.com/th1/index.php?topic=11280.0

เลยอยากถามเพื่อนในนี้ว่า วิธีใหนปลอดภัยที่สุดครับ จะได้เปลี่ยนวิธีการเขียนใหม่ซะที :

[EThaiZone]

เล่นแบบมุขควายเลยนะครับ

โค๊ด:

<?php

$_GET['page'] = dirname(__FILE__)."/".$_GET['page'];
$_GET['page'] = preg_replace("#\.+/#", "/", $_GET['page']);

include($_GET['page']);

?>

ยัด full local path ลงไป
กับจัดการพวก ../  ./ พวกนี้ทิ้ง

 

[ball6847]

มี 2 ประเด็น
- เลี่ยง url include
- $_POST $_GET $_COOKIE หรือ $_GLOBAL อย่าให้มีผลกับคำสั่งโดยตรง ต้องกรองหรือแต่งก่อนใช้งาน (โดยเฉพาะการนำไปใส่ใน database query)

ใช่รึปล่าว ไม่รู้เหมือนกัน   

[EThaiZone]

ของผมใช้จริงจะแนวนี้มากกว่า

สมมุติรับค่า _GET path
จะใช้ค่านี้อ้างอิงแค่ชื่อโฟลเดอร์เท่านั้น (ใช้ฟังค์ชั่นตรวจเอาแค่ a-z ก็พอ)
แล้วอาจรับ _GET action เพื่อไปรันฟังค์ชั่นย่อยอีกที

จริงๆ ทั้งหมดจะอยู่หลัง modrewrite

เลยลักษณะ url จะออกเป็น

domain.com/path/action/string

แนวนี้ แนวคิดคล้ายกับพวก framework บางตัว