Sécurisé les includes par get

Soyez le premier à donner votre avis sur cette source.

Snippet vu 5 084 fois - Téléchargée 34 fois

Contenu du snippet

Bonjour :)
Alors j'ai fais ce petit script pour sécurisé les includes par get, on ne peut pas remonter dans l'arborescence, mais des scripts cheloux qu'on aime pas ^^
Toutes idées pour améliorer le code sera la bienvenue :D

Source / Exemple :


<?php

############
# function #
############

function get_secure($var)
{
	$str_get =
		array(
			  "../", "./", "..\\", ".\\",
			  "%00", "<", ">", "!",
			  "\"", "'", "#", "$", "%",
			  "(", ")", "*", "+", ",",
			  "-", ":", ";", "=", "?",
			  "@", "[", "]", "\\", "^",
			  "`", "~", "?", "?" ,"?",
			  "%", "?" 
			 );
			 	
	foreach($str_get as $strbad)
	{
		$var = urlencode($var);
		$var = str_replace($strbad, '', $var);
		$var = strtr($var, "ÀÁÂÃÄÅàáâãäåÒÓÔÕÖØòóôõöøÈÉÊËèéêëÇçÌÍÎÏìíîïÙÚÛÜùúûüÿÑñ",
						   "AAAAAAaaaaaaOOOOOOooooooEEEEeeeeCcIIIIiiiiUUUUuuuuyNn"
					);
		$var = htmlentities($var);
	}
	
	return urldecode($var);
}

#############
# index.php #
#############

// on the top of page
include(/*function*/);
foreach($_GET as $key => $value)
{
	${$key} = get_secure($value);
}
// so :
// $_GET['inc']; will be $inc;

?>

Conclusion :


Je n'ai montré ici qu'une seule facon de faire mais on peut sécurisé avec file_exists(); etc ... mais ce n'est pas le but de ma source ;o)

A voir également

Ajouter un commentaire Commentaires
Messages postés
368
Date d'inscription
vendredi 10 octobre 2003
Statut
Membre
Dernière intervention
14 mai 2010
1
Ca vas mettre utile merci, je te met 9 !
Messages postés
34
Date d'inscription
lundi 31 mai 2004
Statut
Membre
Dernière intervention
11 mai 2006

ok merci j'y penserais ;o)
merci bcp :)
Messages postés
3006
Date d'inscription
dimanche 14 avril 2002
Statut
Membre
Dernière intervention
31 décembre 2008

si t'as 1500 pages possibles, ben trouve un autre système (tu peux par exemple factoriser par catégorie).
Messages postés
34
Date d'inscription
lundi 31 mai 2004
Statut
Membre
Dernière intervention
11 mai 2006

uè c'est sur mais si t'as un site comme le mien ou tu as 1500 fichiers :s bah t'as pas fini ^^ lol
c'est vrai on peut faire des scrips de listage etc ... mais je prend note de vos remarques ;o) merci et bonne apétit :D
Messages postés
3006
Date d'inscription
dimanche 14 avril 2002
Statut
Membre
Dernière intervention
31 décembre 2008

Si le problème ce sont les accents, autant utiliser url_encode / url_decode. Si ce que tu veux c'est empêcher les inclusions sauvages, suffit de lister les pages autorisées dans un tableau, c'est ce qu'il y a de plus sûr.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.