sprawdzanie poprawności kodu

[Louner]

Mam pytanie. Czy ktoś mógłby spróbować doszukać się błędu w tym kodzie? Nie zawsze działa poprawnie i nie wiem, dlaczego.

[php]<?php
if($body==null)
{
include("./news/news.php");
echo('
<div align="right"><a href="/news/">Dodaj news (tylko osoby upoważnione)</a></div>');
}
else
{
include("./$body.php");
}
?>[/php]

[viraptor]

Nic nie wiemy o tym kodzie, poza tym, że istnieje - napisz konkretnie o co ci chodzi.

[Louner]

Ehm.. Dokładnie o to, żeby zmienić ścieżkę do includowanej strony za pomocą kliknięcia w link zmieniającego wartość $body

[Piotr Bandyk]

Spróbuj tak:

[php]<?php
if(!$body)
{
include("./news/news.php");
print '<div align="right"><a href="news.php">Dodaj news (tylko osoby upoważnione)</a></div>';
}
else
{
include("./$body.php");
}
?>[/php]

W drugiej części elsa zrób zapytanie sprawdzające czy dany plik istnieje. Jeżeli zmienne idą poprzez GET zrób $_REQUEST[body], tak dla bezpieczeństwa:).

[Marek_bf]

NIGDY nie rób tak jak teraz Nie można tworzyć ścieżki do pliku includowanego za pomocą przesyłanej zmiennej. W ten sposób nożna wykonać każdy skrypt z internetu podając w parametrze jego adres!

[Louner]

NIGDY nie rób tak jak teraz Nie można tworzyć ścieżki do pliku includowanego za pomocą przesyłanej zmiennej. W ten sposób nożna wykonać każdy skrypt z internetu podając w parametrze jego adres!

Rozumiemm.... Może znasz jakiś sposób zamienny? : ) Tzn skrypt o podobnym działaniu i bezpiecznej składni. : )

[phpIker]

Marek ma rację.
Można sprawdzić czy plik istnieję poprzez funkcję file_exists();
Poprawiłem też parę błędow w Twoim kodzie i dodałem odrazu sprawdzanie istnienia pliku.

pozdr.

[php]<?php
$body = $_GET['body'];

if ($body == "") {
echo '<div align="right"><a href="/news/">Dodaj news (tylko osoby upowa¿nione)</a></div>';
} elseif(file_exists($body)) {
include('./'.$body.'.php');
} else {
echo 'Error! Taki plik nie istnieje na serwerze!';
}
?>
[/php]