Пользовательский ввод включает

Question

Это чертовски безопасно, верно? Что-то я пропустил?

$page = sprintf("%s/%s.php", "pages", $_GET['page']);
if (file_exists($page)) {
    include $page;
}
else {
    echo "The page '$page' does not exist =(";
}

(да, вы можете использовать его)

Answer 1

«Лучший» способ сделать это - получить массив разрешенных страниц, а затем сделать что-то вроде этого:

$page = $_GET['page'] . '.php';
if(in_array($page, $all_pages)) {
    include('pages/' . $page);
}

Вы можете легко получить список всех разрешенных страниц, выполнив что-то вроде этого:

$all_pages = glob('pages/*.php');

Документация: in_array, glob

Answer 2

Это небезопасно, так как пользователь может произвольно загрузить любую страницу, какую ему нравится.

Answer 3

Используйте basename (), чтобы убедиться, что информация о пути не указана:

$page = sprintf("%s/%s.php", "pages", basename($_GET['page']));
if (file_exists($page)) {
        include $page;
}
else {
        echo "The page '$page' does not exist =(";
}

Answer 4

, если вы уверены, что нет / или .. в $_GET['page'], и что посетителю разрешено просматривать любой php-файл в pages каталоге, я думаю, что все в порядке.