Нельзя указывать напрямую загружаемый извне файл. Так как вполне могут загрузить левый скрипт с собственного сервера.
Например вызываем:
index.php?load=other.php
Код:
PHP код:
<?php
include ($_GET['load']);
?>
Теперь можно у IMHO.Ws появился новый левый адрес:
index.php?load=http://www.imho.ws/index.php
Ведь можно же так написать? Верно? И это сработает. Вложится домашняя страница imho.ws
----------
Правильно так:
index.php?mode=mainpage
index.php?mode=about
Код:
PHP код:
<?php
if ($_GET['mode'] == 'mainpage') {
include 'inc/mainpage.inc.php'
}
if ($_GET['mode'] == 'about') {
include 'inc/aboutus.inc.php'
}
?>
Теперь никто не может обойти это ограничение и вставить свой скрипт в ваш сайт.