Небезопасность include, как быть?

ФридрихФ · Регистрация: 23.10.2015

Студворк — интернет-сервис помощи студентам

почитал про небезопасность include, странно, как теперь быть то?
вот мой индексный файл в котором много подключений, как можно сделать что гарантированно всё отработало?

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
<?php
include 'include/head.html';
include 'include/over.html';
 
if(empty($_SERVER['QUERY_STRING']))
{
    include 'include/start.html';
}
elseif(preg_match('/^\w{2}$/', $_GET['id']))
{
    $page = "temp/".$_GET['id'].".html";
    if (file_exists($page))
        {
        include $page;
        }
    else
        {
        $xml = "ware/".$_GET['id'].".xml";      //откуда взять xml
        $xsd = "xslt/group.xsd";                //откуда взять xsd
        $xsl = "xslt/group.xsl";                //откуда взять xsl
        $html = $page;                          //куда сохранить html
        include 'include/handler.php';
        }
}
elseif(preg_match('/^\w{2}\-\w{4}$/', $_GET['id']))
{
    $page = "ware/".$_GET['id']."/".$_GET['id'].".html";
    if (file_exists($page))
        {
        include $page;
        }
    else{
        $xml = "ware/".$_GET['id']."/".$_GET['id'].".xml";
        $xsd = "xslt/ware.xsd";
        $xsl = "xslt/ware.xsl";
        $html = $page;
        include 'include/handler.php';
        }
    
}
elseif(preg_match('/^\w{4,12}$/', $_GET['id']))
{
    $page = "include/".$_GET['id'].".html";
    if (file_exists($page))
    {
        include $page;
    }
    else
    {
        include 'include/error.html';
    }
}
elseif (preg_match('/./', $_SERVER['QUERY_STRING']))
{
    include 'include/error.html';
}
include 'include/foot.html';
?>

за ранее благодарен.

@Raisin Zn · 07.11.2015, 14:28

Сообщение от ФридрихФ

почитал про небезопасность include

Сообщение от ФридрихФ

как теперь быть то?

А как вы были до того, как прочитали?
Что написано то?

ФридрихФ · 07.11.2015, 14:33 **[ТС]**

Raisin Zn, До того всё было хорошо, в справочниках по PHP ни чего не говориться про безопасность.
Почитал тут https://ru.wikipedia.org/wiki/... 0%B8%D1%8F
То все мои переменные проходят проверку регуляркой. Даже теперь не знаю куда копать,

@Laroux · 07.11.2015, 14:37

Я знаю, что таким образом я сильно уменьшаю гибкость системы, но у меня все, что может инклудиться, записано, например, в БД. И если есть попытка инклудить что-то "левое", то... ну вы поняли

ФридрихФ · 07.11.2015, 14:42 **[ТС]**

Laroux, ни чего не понял, если у меня подключается просто готовый HTML код, который не лежит в базе - то могут быть проблемы? Что с этим include не так? Ни как не могу понять.

@pav1uxa · 07.11.2015, 14:43

Сообщение от ФридрихФ

Почитал тут https://ru.wikipedia.org/wiki/... 0%B8%D1%8F

И что, там рекомендуют не использовать include? Прочитайте всю статью, а не только первый абзац. Там описывается каким образом можно воспользоваться такой уязвимостью и как от нее спастись.

Когда Вы инклудите вот так:

PHP
1
include 'include/head.html';

в этом нет никакой опасности и к "инъекциям" это отношения не имеет. Опасно если будете инклудить файлы, которые передаются скрипту пользователем.

@Laroux · 07.11.2015, 14:46

Сообщение от ФридрихФ

ни_чего не понял

pav1uxa Вам правильно написал

ФридрихФ · 07.11.2015, 14:48 **[ТС]**

pav1uxa, вот смотрю я вот этот урок и так же делаю, все входящие параметры проверяю на "вшивость"
https://www.youtube.com/watch?v=8dwdBipjnDs. Значит меня просто сбили с толку, когда говорили про небезопасность include в моем случае!???

@Laroux · 07.11.2015, 14:54

Давайте еще раз: Вы прочитали статью про инъекции. Там четко говорится о том, как сделать инъекцию.
Однако только при условии, что в Ваш инклюд попадает значение, которое может быть введено пользователем.

У Вас же инклюдятся конкретные значения, а значит никакой инъекции (во всяком случае со стороны инклюда) быть не может

@pav1uxa · 07.11.2015, 18:52

Сообщение от ФридрихФ

Значит меня просто сбили с толку, когда говорили про небезопасность include в моем случае!???

Если кто-то сказал что конкретно вот этот вот Ваш скрипт небезопасен - то да, сбили.

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

Небезопасность include, как быть?

Решение

Решение

Решение

ФридрихФ 203 / 184 / 42 Регистрация: 23.10.2015 Сообщений: 778
	07.11.2015, 14:33 [ТС]
	Raisin Zn, До того всё было хорошо, в справочниках по PHP ни чего не говориться про безопасность. Почитал тут https://ru.wikipedia.org/wiki/... 0%B8%D1%8F То все мои переменные проходят проверку регуляркой. Даже теперь не знаю куда копать, 0

@Laroux 172 / 167 / 75 Регистрация: 21.11.2014 Сообщений: 1,490
	07.11.2015, 14:37
	Я знаю, что таким образом я сильно уменьшаю гибкость системы, но у меня все, что может инклудиться, записано, например, в БД. И если есть попытка инклудить что-то "левое", то... ну вы поняли 0

ФридрихФ 203 / 184 / 42 Регистрация: 23.10.2015 Сообщений: 778
	07.11.2015, 14:42 [ТС]
	Laroux, ни чего не понял, если у меня подключается просто готовый HTML код, который не лежит в базе - то могут быть проблемы? Что с этим include не так? Ни как не могу понять. 0

ФридрихФ 203 / 184 / 42 Регистрация: 23.10.2015 Сообщений: 778
	07.11.2015, 14:48 [ТС]
	pav1uxa, вот смотрю я вот этот урок и так же делаю, все входящие параметры проверяю на "вшивость" https://www.youtube.com/watch?v=8dwdBipjnDs. Значит меня просто сбили с толку, когда говорили про небезопасность include в моем случае!??? 0

@Laroux 172 / 167 / 75 Регистрация: 21.11.2014 Сообщений: 1,490
	07.11.2015, 14:54
	Сообщение было отмечено ФридрихФ как решение Решение Давайте еще раз: Вы прочитали статью про инъекции. Там четко говорится о том, как сделать инъекцию. Однако только при условии, что в Ваш инклюд попадает значение, которое может быть введено пользователем. У Вас же инклюдятся конкретные значения, а значит никакой инъекции (во всяком случае со стороны инклюда) быть не может 1