Задать вопрос
@nomer1
php

Данный код уязвим?

Данный код уязвим? Может ли злоумышленник что-нибудь натворить?
$path = parse_url($_SERVER['REQUEST_URI']);
		$url = explode('/', $path['path']);
		if(isset($url[1]) && !empty($url[1])){
			if(!array_key_exists($url[1], array('404'=>true,'index'=>true))){
				$ctrl = 'controllers/_'.$url[1].'Ctrl.php';  //уязвима ли эта строка?
				if(file_exists($ctrl)){
					include $ctrl;
				}else include 'controllers/_404Ctrl.php';
			}else include 'controllers/_404Ctrl.php';
		}else include 'controllers/_indexCtrl.php';
  • Вопрос задан
  • 191 просмотр
4 комментария
Подписаться 2 Простой 4 комментария
Пригласить эксперта
Ответы на вопрос 3
Omashu
@Omashu
#TODO
Нет, но код так себе

!array_key_exists($url[1], array('404'=>true,'index'=>true))

мм? если присутствует вернет true, следовательно если передать 404 то условие не выполнится
Ответ написан
Комментировать
Комментировать
ThunderCat
@ThunderCat Куратор тега PHP
{PHP, MySql, HTML, JS, CSS} developer
Если я все верно понял, в ларавел да и вообще, это называется Роутинг.

Эта, тут кароче такое дело... Роутер для нормального мвц(и для ооп в целом) выполняет 1 задачу(как и положено по принципу единой ответственности), он определяет что пришло в урл и какой контроллер и экшн подходит под данный урл. Все. Для подключения всяких файлов и создания конторллеров есть диспетчер, которому передается объект роутера. Типа так: диспетчер пропарсил строку http://nomer1.com/user/vasilii_pupkin, в свои свойства вписал: протокол = хттп, сайтнейм = nomer1.com, параметры: user, vasilii_pupkin. Таким параметрам по правилам роутера(смотрите "создание правил в роутере", читайте регулярные выражения) соответствует контроллер userController и экшн showAction с параметром допускающим значение содержащее буквы латиницы+символ подчеркивания. Все, эту инфу можно из него получить, передаем диспетчеру и там уже мутим магию - контроллер, экшн, все дела. А это жесть и адский Ад.
Ответ написан
Комментировать
Комментировать
@shagguboy
if(isset($url[1]) && !empty($url[1])){
if(!array_key_exists($url[1],

два из трех лишние
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
PHP-разработчик
Decart IT-production
от 260 000 до 340 000 ₽
Backend-разработчик PHP
Wanted. Москва
До 160 000 ₽
Разработчик PHP
Автомакон
от 206 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Написать продающую и сео-оптимизированную структура для сайта
22 нояб. 2024, в 09:42
30000 руб./за проект
Создать анимацию 3д в которой идет монтаж двери
22 нояб. 2024, в 09:18
10000 руб./за проект
Обработать фото в стиле ASCII
22 нояб. 2024, в 08:04
1 руб./за проект
Ещё заказы