Hallo Friedrich!
Was genau sind denn $Sec und $Site? Sind das Variablen die per GET oder POST (oder COOKIE) übergeben werden?
Wenn ja, würde ich ev. eine Liste machen, mit Seiten die Inklidiert werden dürfen.
Naja, ich habs so gemacht:
Code:
[color=#808080][/color]
[color=#000080][b]<?php[/b][/color]
[color=#FF8000]//
// Include content.
//[/color]
[color=#800080]if[/color] (file_exists([color=#008000]'./'[/color] . [color=#000080][i]$_GET[/i][/color][[color=#008000]'page'[/color]] . [color=#008000]'.php'[/color]))
{
[color=#800080]include[/color]([color=#000080][i]$_GET[/i][/color][[color=#008000]'page'[/color]] . [color=#008000]'.php'[/color]);
}
[color=#800080]elseif[/color] (file_exists([color=#008000]'./'[/color] . [color=#000080][i]$_GET[/i][/color][[color=#008000]'page'[/color]] . [color=#008000]'/index.php'[/color]))
{
[color=#800080]include[/color]([color=#000080][i]$_GET[/i][/color][[color=#008000]'page'[/color]] . [color=#008000]'/index.php'[/color]);
}
[color=#800080]else[/color]
{
[color=#800080]include[/color]([color=#008000]'404.php'[/color]);
}
[color=#800080]echo[/color] [color=#008000]"\n"[/color];
[color=#000080][b]?>[/b][/color]
[color=#808080][/color]
Durch das file_exists(
'./' .
$_GET[
'page'] .
'.php') prüfe ich, ob die Datei
im Selben Verzeichnis ist und mit file_exists(
'./' .
$_GET[
'page'] .
'/index.php') kann ich dann auch
index-Dateien aus Unterordnern inkludieren. Also irgend was unterhalb meines htdocs-Paths bzw. unterhalb meines Hauptindex-Paths kann da nicht inkludiert werden, da ich in
$_GET[
'page'] vorher noch alle Slash, Backslash und Punkte entferne (braucht man für den normalen Betrieb auch nicht). Das könnte nochwichtig sein.
Zitat von
alcaeus:
ich gehe mal davon aus, dass register_globals aktiv ist?
OK, daran denke ich schon mal garnichtmehr, ich gehe immer davon aus, dann das aus ist.
Naja, aber die Variable durch
$site = preg_replace('/[\\\\\/.:]*/', '', $site); jagen, ist sicherlich kein Fehler.
Grüße
Faux