Если не существует такого GET параметра, то перенаправь на 404 страницу

Здравствуйте.

Динамически получаю контент

$id = empty($_GET['id']) ? 'main' : $_GET['id'];

т.е. если глобальная переменная GET->id пуста, присвой переменной $id значение main, иначе, если не пусто, то переменной $id присвой то, что пришло в глобальную переменную GET->id

Ну и собственно код вывода в index.php

include $id.'.php';

На сервере есть файлы php для вывода (main.php, contact.php и т.д).

Но если передать глобальной переменной значение, несуществующего файла то выводиться ошибка:

Warning: include(sdasdasd.php): in /home/httpd/vhosts/.........../index.php
Warning: include(): Failed opening 'sdasdasd.php' for inclusion (include_path='......../index.php on line 100500....

Пока что подавил ошибку собакой. Как грамотно решить данную проблему? Добавить фильтр разрешенных значений для GET? Если да то как реализовать это?

Спасибо.

Это сообщение отредактировал Dno - 4.11.2014 - 05:52

В твоем случае использовать функцию empty можно только для ситуаций, когда имя файла не состоит из одного нуля 0.php
http://de2.php.net/manual/ru/function.empty.php

// $_GET['id'] == '0';
empty($_GET['id']) === true

передача в URL одних пробелов также вызовет ошибку логики

// $_GET['id'] == '    ';
empty($_GET['id']) === false

Для проверки строки лучше использовать isset()

if( isset($_GET['id']) && trim($_GET['id']) != '' )
{
  $filename = trim($_GE['id']) . 'php';
}
else
{
      $filename = '404.php';
}

Далее проверяем на существование файла и подключаем

if( file_exists ( $filename ) )
{
   include $filename;
}
else
{
    include '404.php';
}

Помимо этого, неплохо было бы иметь список разрешенных к подключению файлов или путей, ведь include может подключить любой файл, даже за пределами DOCUMENT_ROOT
Ведь GET['id'] может быть и равен '../../../config'

Или же твои подключаемые файлы должны иметь некую часть в именах, которой нет у других файлов.
main.inc.php
contact.inc.php
и тогда

  $filename = trim($_GE['id']) . '.inc.php';

AllesKlar, Огромнейшее Спасибо (+ в карму). Проблема решена.

Это сообщение отредактировал Dno - 4.11.2014 - 09:21

А вот еще вопрос Уважаемые знатоки.

Вот теперь у меня, если передан GET->id с названием несуществующего файла на сервере, то include-ится 404.php в index.php, в блок контента. А что делать в случае, если от сервера пришел ответ 404?

На данный момент в .htaccess прописано ErrorDocument 404 /404.php

То есть, если от сервера пришел ответ 404, клиенту выводиться 404.php, а он у меня без подключенных стилей и т.п. Кусочек кода, который надо в ставить в блок html, для вывода.

Собственно вопрос состоит в том, как по средствам PHP написать:

Если (Ответ сервера == 404) include 404.php

Спасибо.

Это сообщение отредактировал Dno - 4.11.2014 - 09:18

if( file_exists ( $filename ) )
{
   include $filename;
}
else
{
    header("Location: 404.php",TRUE,404);
}

надеюсь понял суть. почитай на php.net про функцию header

и получаем уязвимость LFI (LOcal File INclude)
Нельзя пользовательские данные так подставлять в файловые пути, должен быть жесткий контроль содержимого переменной. Мало ли что там юзер ввел.
Либо делай массив со списком всех допустимых имен файлов, либо регуляркой проверяй соответствие шаблону, плюс наличие файла.

так делать нельзя!
404-й статус код нельзя совмещать с редиректом (заголовком Location)

killer8080
я хз, тогда 2 заголовка отдельно нужно пустить http 404 и location

так это ничего не меняет
Заголовок location применяется совместно со статус кодом редиректа (301, 302, 303, 305, 307)
С кодом 404 браузер его просто проигнорит.
Всё просто, не нужно никаких редиректов, а просто отдавать 404 ошибку

killer8080,

Можно подробней пожалуйста, с кодом ? Как правильно написать массив всех допустимых имен, а потом при передаче Гет проверять по массиву? Как правильно реализовать это?

killer8080
ты не правильно понял. я имел в виду на странице сделать redirect, а в 404.php отдать код 404

Спасибо пользователю killer8080 за информацию о уязвимости под названием Local File Inclusion.

Почитал в интернете об этом. Вот измененный код:

$file = array('view', 'registration', 'main', 'add');
if (in_array($id, $file) && file_exists("view/$id.php"))
    include "view/$id.php";
else
    include "404.php";

Хотелось-бы услышать мнение о коде. Логика правильная?

правильная, но у этого подхода есть свои минусы, если сайт маленький то нет проблем, но если число контроллеров измеряется не одним десятком, то возникают неудобства. При добавлении новых контроллеров нужно ручками добавлять их названия в массив, что не очень удобно. Потому удобней второй вариант.

if (preg_match('#^[a-z\d_]+$#', $id)  && file_exists("view/$id.php"))
    include "view/$id.php";
else
    include "404.php";

---

Спустя 2 минуты, 9 секунд killer8080 написал(а):

---

только смысл то какой от такого редиректа? Чем плохо сразу отдать 404 ошибку?

Dno
насчет веб безопасности советую заглянуть в этот топик
http://phpforum.su/index.php?showtopic=21213

killer8080, Спасибо.

По возможности пытаюсь не использовать "регулярные выражения".

А как написать код, что-бы при else не инклюдила 404.php, а чтоб сервер присылал 404 ответ.

$file = array('view', 'registration', 'main', 'add');
if (in_array($id, $file) && file_exists("view/$id.php"))
    include "view/$id.php";
else
    header("HTTP/1.1 404 Not Found");

Понятно что сверху код не рабочий, ведь он уже послал заголовки в начале файла. А как правильно написать код? Или проверку надо делать в самом начале файла? Ну т.е. если в массиве нету такого значения пошли 404 ответ.

Где? В этих пяти строчках я не узрел других заголовков

ну помимо заголовка нужна ещё и сама страница, которую увидит пользователь. Удобней её вынести в отдельный файл, и там же заголовок формировать.