Bloqueando PHP Injection

[rmnk35]

Bom pessoal, tava navegando na internet alheia, e achei esse codigo, para bloquear php injection.
Nós não só temos que encinar à atacar como se defender! :wink:

codigo:

Código:

<?php
//Pega os dados passados pela URL
$pagina=$_GET['pagina'];

    //Verifica se a string passada possui algum trecho invalido
    //Caso tenha mostra uma mensagem de erro
    if(eregi("http|www|ftp|.dat|.txt|.gif|wget", $pagina))
    {
        echo "Ops! Problemas na pígina!";
    //Se a variavel passada estiver dentro das normas, executa o else abaixo:
    }else{
        if(!empty($pagina)) {
            @include ("$pagina.php");
        }else{
            @include ("capa.php"); //essa seria a sua pígina principal
        }
    }
?>

:arrow: Fonte:Oficina da net

[fvox]

Eu não confiaria nesse script não =P

PHP injection é uma falha muito delicada, a partir do momento que o register_globals passa pra on, a preocupação vem, hehe. :mrgreen:

Esse script é seguro, creio eu, pelo menos as píginas são validadas, se não forem tem um die();

Código:

$var = $_GET['page'];
$pages = array('index.php', 'menu.php', 'fvox.php');
if(in_array($var, $pages))
{
include($page);
}
else
{
die("Hacking Attempt!");
}

[rmnk35]

pois é Fvox,
é meio dificil confiar em algumas coisas que se acha porai :wink:
mas o melhor é sempre vc fazer seu script, para na hora não culpar o autor do tal.
abras...

[d4rk w0lf]

Melhor usar o switch pra verificar qual pígina incluir e usar o default caso nao tenha nada...