/ * पृष्ठ पथ को परिभाषित करें / परिभाषित करें ("PAGE_DIR", "pages /"); अगर (file_exists (PAGE_DIR। "$ _ GET [पृष्ठ] .php")) शामिल हैं (PAGE_DIR। "$ _ GET [पृष्ठ] .php"); यह कैसे सुरक्षित है? क्या आप उदाहरण के लिए एक अन्य वेबसर्वर पर एक पृष्ठ शामिल कर सकते हैं यदि पेज को फ़ोल्डर नामक फ़ोल्डर में है?
धन्यवाद
यह बिल्कुल सुरक्षित नहीं है - अगर $ _ GET [पेज] में ../../../ कहीं / अन्य /
आपको स्पष्ट रूप से अनुमत पृष्ठों की सूची होना चाहिए।
संपादित करें: मुझे नहीं लगता है कि इसमें एक अलग सर्वर से एक फ़ाइल शामिल हो सकती है, लेकिन यह अभी भी अच्छा नहीं है ऐसा करने की बात।
Comments
Post a Comment