risolvere un bug

[wiko]

ciao a tutti,
mi hanno detto che questo è un bug:
index.php?content=
come lo posso fixare?
come posso evitare che i simpatici lameroni entrino in un sito utilizzando la lina di comando con il php?
grazie...e scusate l'ignoranza

 

[Eliox]

Con register_globals in off già ti risovi il 90% dei problemi.

Ma a che ti serve una querystring a cui non passi parametri?

 

[wiko]

ehm.. scusa ma sono proprio un novellino.. potresti spiegarmi meglio?
cmq la query completa avrebbe come parametro un file di testo da includere nella pag..

..grazie

 

[Eliox]

Passare una pagina per querystring non è un bug, molto più semplicemente è un cosa molto pericolosa perchè permette a malintenzionati di inviare sul tuo server pagine contenenti codici malevoli.

L'ideale è passare un parametro per querystring ed effettuare un controllo su di esso, se il controllo è positivo è possibile includere la pagina; ad esempio.

index.php?content=1

Può essere controllato (un pò alla buona) con

if(is_numeric($_GET['content'])) {include 'pagina.php';}

Neanche questo è però un sistema completamente sicuro, la cosa migliore è effettuare l'encoding delle URL

 

[wiko]

ok capito... nel frattempo sono andato su php.ini e messo in off register globals

grazie!