pkoi ça marche pas ?Résolu

Question

pkoi ça marche pas ça ?
<? 
if ($page="" or $page=null) 
{ 
include("news.php");
} 
else 
{
$page=$page.".php";
include($page);
} 
?> 
g un lien ([index.php?page=News Accueil]) quand je click dessus normalement je devrais avoir news.php qui s'ouvre et bien non ya une erreur
Warning: main(.php): failed to open stream: No such file or directory in c:\easyphp1-7\www\soulac\index.php on line 58

Warning: main(): Failed opening '.php' for inclusion (include_path='.;C:\EasyPHP1-7\php\pear\') in c:\easyphp1-7\www\soulac\index.php on line 58
au niveau de include($page);
vous avez une idée ?

juki_webmaster · Accepted Answer

Salut,
faire ceci  : include($page); est une grave erreur ! ceci peut entrainer des failles de type CSS.
Mais bon, essaye plutot ceci :


<? 
if ($page=="" or $page=="null" or $page!="news") 
{ 
include("news.php");
} 
else 
{
$page="".$page.".php";
include($page);
} 
?>


Quelques informations consernant les failles de type CSS :
http://www.sheep-team.org/tutos/16
http://users.skynet.be/hawai/UnderGround/Failles/faille09.html
http://www.ixus.net/resume_messages.php?topic=3365

cs_Anthomicro · Answer

Salut :-) (politesse bon sang...)

Tout d'abord pour les failles c'est pas bon, ensuite pour sécuriser le tout :

<?php
if (!isset($_GET['page'] OR empty($_GET['page']) OR !file_exists($page.'.php')
{
              include 'news.php';
}
else
{
             include($page.'.php');
}
?>

a ++

http://www.vulgarisation-informatique.com : entraide, dépannage et vulgarisation informatique

ranouf · Answer

ton idée Anthomicro de tester si la page existe est pas conne du tout !!! je la conserve

par contre g pas trop compris cette histoire de faille ? c a d qu'en faisant comme g fait je peux me faire hacké ?

cs_Anthomicro · Answer

Plus maintenant car il y a le file_exists, mais avant tu pouvais, suffisait de mettre une url de page distante avec un serveur n'analysant pas le php et hop, fini pour ton site :-(

Tu peux cliquer sur "réponse acceptée" en dessous de mon pseudo stp ?

merci beaucoup

bye

http://www.vulgarisation-informatique.com : entraide, dépannage et vulgarisation informatique

ranouf · Answer

merci pour l'info je ferai gaffe à l'avenir si t'as d'autres astuces comme ça pour éviter les failles je suis preneur

cs_Anthomicro · Answer

Tu peux faire un switch si tu as un nombre de pages peu important :

if(isset($_GET['page']))
{
      switch($_GET['page']))
      {
           case 'news.php':
              include 'news.php';
           break;
           case 'page2.php':
              include 'page2.php';
           break;
           case else:
              include 'news.php';
           break;
      }
}

a +
http://www.vulgarisation-informatique.com : entraide, dépannage et vulgarisation informatique

Pkoi ça marche pas ?

6 réponses

Votre réponse

Discussions similaires