Создать главную страницу с подробным описанием загрузчика страниц

Question

Создать главную страницу с подробным описанием загрузчика страниц

0

Поэтому я создал сайт, который его страницы загружаются через загрузчик страниц в файле index.php. Теперь мне захотелось создать страницу с подробной информацией, но я не могу заставить ее работать правильно. он перенаправляет файл detail.php, но он ничего не делает с идентификатором от $ _GET ['id'].

//detail .php
<?php
if (isset($_GET['id'])){
    $id=mysqli_real_escape_string($_GET['id']);
}
?>

<form action="" method="GET" enctype="multipart/form-data">
    <center><table>
    <?php   
       global $connect;
       echo "TEST"
    ?>
    </table></center>
</form>

//pageloader.php
<?php
if(@$_GET["page"]){
    $page = "pages/".$_GET["page"].".php";
    if(file_exists($page))
    {
      include $page;
    }
    else 
    {
      echo "deze pagina bestaat niet";
    }
}
?>

Когда я нажимаю ссылку, которая ссылается на ID, она дает следующую ссылку:

.../? Стр = подробности? ID = 6

этих результатов на странице не существует.

Как я могу решить эту небольшую проблему, чтобы правильно отображать содержимое данного идентификатора.

Yari Bernardus 03 фев. 2015, в 01:21

Источник

0

Вы можете перестать это делать. Так как вы открыты для LFI (Local File Inclusion) и, по сути, будете позволять кому-либо (кто обладает некоторыми знаниями) найти ваш файл /etc/passwd и различные другие файлы.
Darren 03 фев. 2015, в 00:06
0

Ну, там не так много, чтобы найти, это просто очень маленький сайт для моего антикварного магазина пап. Я хочу показать продукты, и когда вы нажмете на них, вы увидите детали. У вас есть другой вариант для использования?
Yari Bernardus 03 фев. 2015, в 00:19
0

Вы должны создать белый список, как я подробно изложил в моем ответе :), просто чтобы убедиться, что они не пытаются включать какие-то хитрые вещи.
Darren 03 фев. 2015, в 00:20

Показать ещё 1 комментарий

Теги:

php

master-detail

2 ответа

Ещё вопросы

Вы можете перестать это делать. Так как вы открыты для LFI (Local File Inclusion) и, по сути, будете позволять кому-либо (кто обладает некоторыми знаниями) найти ваш файл /etc/passwd и различные другие файлы.
Ну, там не так много, чтобы найти, это просто очень маленький сайт для моего антикварного магазина пап. Я хочу показать продукты, и когда вы нажмете на них, вы увидите детали. У вас есть другой вариант для использования?
Вы должны создать белый список, как я подробно изложил в моем ответе :), просто чтобы убедиться, что они не пытаются включать какие-то хитрые вещи.

Darren · Answer 1 · 2015-02-02T21-17-00.000Z

Я не одобряю такой тип "динамической страницы", который вы здесь делаете, но если вы собираетесь это сделать, то вы должны запустить его против белого списка.

$allowed = array(
    '1' => 'page1.php',
    '2' => 'page2.php',
    .....etc
);

$id = trim($_GET['id']);
if(isset($allowed[$id]) && file_exist("pages/".$allowed[$id].".php")) {
    include("pages/" . $allowed[$id] . ".php";);
}

Вышеприведенные проверки для обеспечения того, что $id присутствует в $allowed массиве страниц и если файл существует в этом каталоге.

Misunderstood · Answer 2 · 2015-02-02T21-38-00.000Z

$id=intval($_GET['id']);

intval будет квалифицировать идентификатор как числовой и будет производить нуль, если пустой или нечисловой.

mysqli_real_escape_string используется для mysqli_real_escape_string текста перед сохранением его в записи

+ Изменить

if(@$_GET["page"]){
  $page = '/page

к

$page = $_GET["page"];
if strlen($page) > 0){
    $page = "/home/user/public_html/pages/$page.php";
    if (file_exists($page)){

Нет смысла использовать конкатенацию точечной строки при использовании двойных кавычек.

Лучше получить страницу из локального каталога, чем HTTP

Адресная строка будет выглядеть более чистым, если вы используете пост, а не получаете

<form action="" method="post" enctype="multipart/form-data"

Использовать $_POST['page'];

<center> устарел, вместо этого используйте CSS.

<style>
table{margin:0 auto;}
</style>