/* define page path */
define("PAGE_DIR", "pages/");
if (file_exists(PAGE_DIR."$_GET[page].php")) include(PAGE_DIR."$_GET[page].php");
这有多安全?例如,如果页面位于名为pages的文件夹中,您是否可以在另一个Web服务器上包含一个页面?
谢谢
这根本不安全 - 想想如果$_GET[page]包含会发生什么../../../somewhere/else/
您应该明确地拥有允许页面的列表.
编辑:我不认为它可能包含来自不同服务器的文件,但它仍然不是一件好事.
| 归档时间: |
|
| 查看次数: |
1379 次 |
| 最近记录: |