[security][web] if(!include)

0

0

Есть index.php, нужную информацию он выводит посредством инклуда страницы, на которую указывает @$_GET["page"]. Выбор идет через switch(). Примерно:

switch(@$_GET['page'])
{
case "main": $page="main"; break;
case "exit": $page="exit"; break;

default: $page="main"; break;
}
include ("pgs/".$page.".php");

авторизация пользователя проверяется в самом index.php до вывода страниц. Из-за этого получается, что, неавторизовавшись, например, на адрес localhost/proj/index.php?page=main попасть не получится, точнее не увидишь страницу, но ее можно увидеть по адресу localhost/proj/pgs/main.php. Это при условии, что знаешь структуру директорий. Хоть и узнать ее сложно, но получается криво.

Есть ли смысл проверку авторизации ставить в начало каждого файла в /pgs/ или все-таки можно защитить страницу от "прямого вызова" (не через include)?

Ссылка

←	Атомарные операции (C, Linux)

А есть ли библиотеки для модификации flash файлов?

→

index.php:
<code>
define(IN, 1);

switch(@$_GET['page'])
{
case "main": $page="main"; break;
case "exit": $page="exit"; break;

default: $page="main"; break;
}
include ("pgs/".$page.".php");
</code>

main.php:
<code>
if(!IN) exit();
</code>

Как-то так.

LebedevRI ★
(20.03.09 09:21:20 MSK)

$page = in_array($_GET['page'], array('main','exit')) ? $_GET['page'] : 'main'

Так гораздо лучше

Voker57 ★★
(20.03.09 10:59:19 MSK)

Ссылка

Ответ на: комментарий от LebedevRI 20.03.09 09:21:20 MSK

и чем оно отличается от

if($_SESSION["login"])
{}
else exit();

&

~~vitroot~~ ★★
(20.03.09 12:08:22 MSK) автор топика

Ответ на: комментарий от vitroot 20.03.09 12:08:22 MSK

самописный движок работает точно так же.
Использую in_array()(динамически сканю директории на предмет файлов подходящих под шаблон) при инклюде страницы (вложенность аще многоярусная).
В index.php в начале определяется служебный массив, какой-то $ARR; в начале любой странички обязательно стоит
if(!$ARR)
exit;

markevichus ★★★
(20.03.09 20:26:20 MSK)