URLをインクルードページで更新し、新しいURLに更新したURLを

Question

私はウェブサイトで見たテクニックがあります。固定されたindex.phpファイルが1つあり、そのファイルにページが動的に含まれています。

<?php 
    if ($_GET['page']) 
    { 
     $url= $_GET['page'].".php" ; 
     if(is_file($url)) 
     { 
      include $url; 
     } 
     else 
     { 
      echo ' requested page is not found :'.$url; 
     } 
    } 
    else 
    { 
     include 'home.php'; 
    } 
?> 

と任意のherfの場所がありますのindex.phpページ= ToPage

URLはwww.siteのようになります？

は、私はこの内のコードを持っているのindex.phpを持つような意味します。 com/index.php？page = page1、www.site.com/index.php?page=page2など..

他のサイトでは、ほとんどのサイトが通常のページへの移動を使用します。あなたは別のページに行ってください。 このようにURLはwww.site.com/index.php、www.site.com/page1、www.site.com/page2.phpになります。

私はすべての方法の利点\短所は何かを知りたいです。 最初の方法を使用するのは安全ですか？

Answer 1

1 www.site.com/index.php?page=page1

この方法は危険なデータは、ユーザによって操作することができるように、すべての推奨はありません。

2. www.site.com/page1

これはちょうど、かなりURL書き換えです。これは、Apacheサーバの.htaccessコードを使用し、サーバブロックのURL書き換えをnginxコンフィギュレーションファイルに設定することで実現できます。しかし、あなたはこれを上記の方法で実装するセキュリティ上の欠陥があります。

includeまたはrequireを使用すると、Path Traversal攻撃が発生する可能性があります。ここ

詳細：一つの選択肢は、実際のパスを比較することができhttps://www.owasp.org/index.php/Path_Traversal

：第二に

$basepath = '/foo/bar/baz/'; 
$realBase = realpath($basepath); 

$userpath = $basepath . $_GET['path']; 
$realUserPath = realpath($userpath); 

if ($realUserPath === false || strpos($realUserPath, $realBase) !== 0) { 
    //Directory Traversal! 
} else { 
    //Good path! 
} 

を、あなたが何か良い、信頼できるルーティングライブラリまたはパッケージを使用することができます。