其中哪一个更好:
include("up.php");
content here
include("down.php");
up.php文件包含每个页面的部分 down.php文件包含每个页脚部分
或
$sivu = $_GET['sivu'];
$sivu = str_replace("/", "", $sivu); //only this directory allowed
include("".$sivu.".php");
答案 0 :(得分:3)
第一种解决方案易于阅读,易于调试,并且即使在Windows上也非常安全。
第二种解决方案允许攻击者执行任意文件,至少在Windows上使用反斜杠(\)而不是斜杠。此外,它也不必要地复杂。