[Leonardo_C_P_]

E ae pessoal, já vi muitas pessoas com problemas nas suas query strings, tendo que criar várias e várias if's ou case's para usar uma query_string que evitasse os mal feitores de passarem virús para o servidor.

Pensando nisso, desenvolvi a função QSS(). Muito simples e eficaz, ela só inseri no seu servidor oque o usuário deseja. Sendo assim, você não vai precisar criar vários arquivos com o mesmo layout deixando pesado o seu site. Basta ter a sua QSS() lá, simples e segura.


A função QSS:

PHP

<?PHP
// --------------------------------------------------------------------------------------------------
// Função QSS(Query String Segura)
// --------------------------------------------------------------------------------------------------
// :::::::::::::::::::::::::::::::::::  DESENVOLVIDA POR  :::::::::::::::::::::::::::::::::::::::::::
// Leonardo C. Pereira (Dante) [ www.leonardopereira.pt.to ] [ dantetekanem@hotmail.com ]
// --------------------------------------------------------------------------------------------------
// COMO FUNCIONA ////////////////////////////////////////////////////////////////////////////////////
// Inclui outras páginas dentro do seu website, obedecendo as seguintes regras.
// Que sejam das extensões permitidas por você, e que estejam no mesmo servidor que o sistema.
/////////////////////////////////////////////////////////////////////////////////////////////////////
// --------------------------------------------------------------------------------------------------
// MODO DE USAR /////////////////////////////////////////////////////////////////////////////////////
// QSS('pagina');
// Inclui os arquivos que vierem dentro da váriavel requisitada 'pagina'.
// Se for por exemplo o link(www.meusite.com/index.php?pagina=teste.php)
// Será pego o conteudo teste.php
/////////////////////////////////////////////////////////////////////////////////////////////////////
// --------------------------------------------------------------------------------------------------
// AVISOS ///////////////////////////////////////////////////////////////////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////////////
// Necessário PHP 4.x.x ou superior para funcionar.
// Caso for usar está função em seu website, por favor, deixe os devidos créditos ao autor(eu).
// --------------------------------------------------------------------------------------------------
function QSS($caminho){
$extP = array('php','html','htm','js','txt'); // As extensões permitidas para visualização
$qs = $_REQUEST[$caminho];
$p1 = explode("?",$qs);
$ar = explode(".",$p1[0]);
if(isset($qs)){
if(in_array($ar[sizeof($ar)-1],$extP) AND &#33;eregi("http://|www.|ftp://",$p1[0]) AND file_exists($p1[0])){
include($qs);
}else{
// MENSAGEM DE ERRO DO SISTEMA PARA PÁGINAS INVÁLIDAS OU INEXISTENTES ///////////////////////////////
print('Erro, o caminho que você está tentando visualizar é dito como inseguro e perigoso para o nosso
sistema ou o arquivo é inexistente, por favor, tente outro caminho.<br/>
Arquivo tentando ser visualizado: <b>'.$qs.'</b><br/>O formato <b>'.$ar[sizeof($ar)-1].'</b>');
if(in_array($ar[sizeof($ar)-1],$extP)){
print(' é permitido pelo nosso sistema.<br/>');
}else{
foreach($extP as $array){$ext[]='<b>.'.$array.'</b>';}
print(' não é permitido pelo nosso sistema;<br/>Formatos permitidos: ('.implode(", ",$ext).');<br/>');
}
if(file_exists($qs)){
print('O arquivo <b>'.$qs.'</b> existe no nosso servidor.');
}else{
print('O arquivo <b>'.$qs.'</b> não existe no nosso servidor.');
}
}
/////////////////////////////////////////////////////////////////////////////////////////////////////
}
}
// TESTANDO A FUNÇÃO NO SISTEMA, CHAMANDO ELA PELA QUERY STRING 'p' /////////////////////////////////
QSS('p');
/////////////////////////////////////////////////////////////////////////////////////////////////////
?>

Estudem ela ! Abraços !

[RaulOlhoVivo]

kc... kara vc nun para d inventa coisa ....

mais ae.. tah daora o sitesma ae parabens..


flws

[Kikitten]

Desculpa mas não entendi 2 coisas ^^
Não preciso mexer em nada nesse código?
E como ficariam os links?

Agradeço se puder tirar essa duvida ^^

[Leonardo_C_P_]

O script está comentando como vai ficar seus links e onde deve alterar, leia ele novamente.


Abraços.

[Eder Rodrigues]

Opa!!!

Onde é que eu coloco esse codigo?

quando eu coloco ele da esse erro

Parse error: parse error in c:\arquivos de programas\easyphp1-8\www\teste\novo\index.php on line 299

alguem pode me ajudar?

[Leonardo_C_P_]

Substitua:

if(in_array($ar[sizeof($ar)-1],$extP) AND & #33;eregi("http://|www.|ftp://",$p1[0]) AND file_exists($p1[0])){

Por:
if(in_array($ar[sizeof($ar)-1],$extP) AND !eregi("http://|www.|ftp://",$p1[0]) AND file_exists($p1[0])){

[Member]

Gostaria de sugerir uma variação (e pedir pra você, Leonardo, nos responder se iria funcionar mesmo!).
Daria pra gente colocar um conjunto de queries-strings permitidas (num array ou num BD) e aí toda vez
que vier uma query pela URL a função checa se pertence as palavras permitidas, e se não retorna uma
mensagem de erro. Isso funcionaria? É tão seguro quanto a sua maneira?

Flws!

[Leonardo_C_P_]

Funciona sim e é o modo que atualmente eu uso. =)

Algo como isto:

CÓDIGO

<?PHP

$paginas = array(
'' => 'homepage.php',
'noticias' => 'noticias.php',
'reviews' => 'reviews.php',
'galeria' => 'galeria/index.php',
'download' => 'download.php'
);

if(file_exists($paginas[$_GET['page']])){
include($paginas[$_GET['page']]);
}

?>

O que isso faz é simplesmente incluir uma página de uma array, ainda tem outras opções que possibilitam até a criação de uma trilha de páginas, mas ai é bem mais avançado.

Nota: Trilha de páginas, ex.: Home Page > Downloads > Scripts > QSS