我通过名为index.php的文件重定向所有页面请求,该文件查看访问者请求的URL,并查看是否有匹配的模板文件。
例如,http://www.website.com/contact实际上将路由到index.php脚本,并应检查文件/var/html/template/contact.tpl是否存在,如果存在则包含它。
我关心的是安全性和空字符,额外的点和斜线等。是否有任何类型的过滤器需要应用于下面的代码,或者是使用pathinfo和目录前缀吗?显然,我不希望任何人能够恶意包含指定模板目录之外的文件。
<?php
define ('TEMPLATES', '/var/html/templates');
$page = pathinfo ($_SERVER['REQUEST_URI'], PATHINFO_FILENAME);
if (file_exists (TEMPLATES . '/' . $page . '.tpl')) {
include (TEMPLATES . '/' . $page . '.tpl');
} else {
header ('HTTP/1.0 404 Not Found');
echo 'Sorry page not found';
}
?>
答案 0 :(得分:3)
要100%安全,请在返回页面之前列出允许的页面并检查它是否在该数组中。
您甚至可以尝试使用php glob(),例如..
define ('TEMPLATES', '/var/html/templates/');
$page = TEMPLATES . pathinfo($_SERVER['REQUEST_URI'], PATHINFO_FILENAME) . '.tpl';
if (in_array($page, glob(TEMPLATES . '*.tpl'))) {
include ($page);
} else {
header ('HTTP/1.0 404 Not Found');
echo 'Sorry page not found';
}
这将验证它是否在该文件夹中,并且扩展名是“.tpl”
抱歉 - 只是编辑以使glob()行为正确。