我有常用功能的PHP得到包括文件並顯示它作爲這樣清潔_GET變種字符串在PHP中只有字母
index.php?F=contact
<?php
$file=$_GET['F'];
include('the_files/'.$file.'.php');
?>
This will display file contact.php
頁面由於安全的我要過濾的
$file=$_GET['F'];
與某種代碼,因此只有文字沒有simbols沒有斜槓會找引入
我試着用
<?php
$clean_file=mysqli_real_escape_string($clean_file,$_GET['F']);
include('the_files/'.$clean.'.php');
?>
但似乎這僅僅是清潔的MySQLi ...
任何想法如何做到這一點?
哪裏做文件從何而來? –
這些文件來自同一臺服務器 – NICALANICA
使用白名單或開關大小寫或任何其他文件。只有包含文件,如果你知道它們存在。不要相信比任何試圖破壞您的網站的人都更聰明。 –