Citat:
Originalno napisao dinke
A sta ako user posalje nesto tipa page = ../../../foo ? ladno ce taj fajl traziti ispod page dira o kome pricas. Sve u svemu, vrlo insecure.
|
quickfix
PHP kôd:
$page = isset($_GET['page']) && strpos("../",$_GET['page']) === false ? $_GET['page'] : 'homepage';