Coder Forum

Du benutzt in der index.php einfach eine Switch Konstruktion.



Und komm bitte nicht auf die gloreiche Idee soetwas zu machen nur weil es weniger Schreibarbeit ist.

Mehr schreiben, mehr Sicherheit

... damit kann man nämlich alle Dateien laden - nicht nur php files, wie man denken könnte - andererseits ist das beliebige Laden von PHP Files schon schlimm genug

Beispiel Parameter:

Ne, ne ...

siehe auch:
http://de.php.net/switch

Das reicht schon

nach dem Case-statement kommt ein Doppelpunkt, kein Strichpunkt

Quoted from "Rondrer"

nach dem Case-statement kommt ein Doppelpunkt, kein Strichpunkt

	PHP Quellcode
1 2 3 4 5	switch ($_GET['user']) case '$user': include_once('profil.php?user=$user'); break; }

Man kann doch keine GET-Parameter per include mitgeben, oder täusche ich mich grad?

Quoted from "t_R"

Man kann doch keine GET-Parameter per include mitgeben, oder täusche ich mich grad?

Ne, das ist auch Käse. Genau wie die Variable im Case.
Dann kann man sich auch das Switch Konstrukt sparen, aber wie oben darauf hingewiesen ist das sehr unsicher
Beim include passiert ja nicht mehr als das die Datei eingebunden wird, dabei läuft afaik nichts durch den parser.

Dabei ging es ja auch um das Semikolon.

Wenn man das ganze mit der unsicheren Variante macht:


Aber vorher abfragt ob diese "$_GET['page'].php" z.b. index.php auf dem Server existiert. Und dann wenn die Abfrage true ist, wird die seite included und wenn nicht gibt es eine Error Seite.
Ist das ganze dann nicht wieder "sicher" und man hat trotzdem viel Schreibarbeit gespart?

Dann poste ich mal meinen Vorschlag, der relativ sicher sein sollte.

Hat den Vorteil, dass man nicht in beliebige Verzeichnisse wechseln kann und du musst die Datei nicht immer aktualisieren, wenn neue Seiten hinzukommen. Einfach im Ordner "seiten" (oder wie auch immer du ihn später nennst) die Datei in der Form seitenname.php speichern und per index.php?page=seitenname aufrufen

Quoted from "t_R"

Dann poste ich mal meinen Vorschlag, der relativ sicher sein sollte.

Das soll jetzt keine Grundsatzdiskussion werden, aber relativ ist genauso ein Unwort wie eigentlich und da liegt meistens das Problem.

Es sollte keinen Grund geben über einen GET Parameter eine Datei zu includen.

Wenn man das wirklich tun möchte, dann muss man penibel alles filtern. Dazu gehören dann auch wie von d0nut angesprochen die Steuerzeichen, die du nicht berücksichtigst sehr oft nicht berücksichtigt werden.

Wenn man diese Variante wählt, dann sollte man einen whitelistfilter einbauen.
Heisst, dass man alle erlaubten Kombinationen in ein Array steckt und das bei dem aufrufen mit dem Input vergleicht.


Man kann auchauf Filterklassen zurück greifen, die schon "relativ" gut sind. Relativ in dem Fall, da es keine 100% sichere Lösung gibt.
Daher sollte man lieber den Case voll ausschreiben. Dann spart man fast immer Zeit und nerven. Denn es gibt genug Leute die langeweile haben und es gibt sehr gute Tools und Manuals (vor allem für den Firefox) die die Manipulation extrem vereinfachen, was man nicht unterschätzen sollte.


//edit
Ich habe eine allgemeinere Formulierung gewählt

Dann tut's mir natürlich furchtbar Leid, wenn ich hier mit Unworten um mich werfe. Ich wollte lediglich dem Themenstarter ein Grundgerüst zeigen, wie es aussehen KÖNNTE - dass das aber nicht das Sicherste ist, ist mir bekannt.
Aber gut, ist ja egal.