我有常用功能的PHP得到包括文件并显示它作为这样清洁_GET变种字符串在PHP中只有字母
index.php?F=contact
<?php
$file=$_GET['F'];
include('the_files/'.$file.'.php');
?>
This will display file contact.php
页面由于安全的我要过滤的
$file=$_GET['F'];
与某种代码,因此只有文字没有simbols没有斜杠会找引入
我试着用
<?php
$clean_file=mysqli_real_escape_string($clean_file,$_GET['F']);
include('the_files/'.$clean.'.php');
?>
但似乎这仅仅是清洁的MySQLi ...
任何想法如何做到这一点?
哪里做文件从何而来? –
这些文件来自同一台服务器 – NICALANICA
使用白名单或开关大小写或任何其他文件。只有包含文件,如果你知道它们存在。不要相信比任何试图破坏您的网站的人都更聪明。 –