¿Existe algún peligro en las subpáginas que pueda ser llamado por url pero que no pueda compilar debido a faltas incluidas?

5

Tengo una página web que básicamente utiliza la siguiente estructura:

index.php
functions.php
pages/a.php
pages/b.php
...

Cuando llamo index.php, se le solicita al usuario que inicie sesión o inicia sesión automáticamente con un id de sesión. index.php llama a pages / a.php etc. cuando se realizan los clics en la navegación. index.php incluye functions.php, que realiza todas las tareas de verificación de derechos en has_rights (...).

Cada archivo de páginas es como este:

if(has_rights(...)) {
    ...
}

Cada vez que abro $ url / pages / a.php por su cuenta, aparece una página en blanco y un mensaje de error en el registro que has_rights no está definido. Al exterior, este mensaje no es visible, y no hay una manera obvia de obtener los nombres de archivo en las páginas. Además, las páginas no deben llamarse solas porque faltan elementos de encabezado (CSS, Javascript, ...). ¿Es un peligro y, de ser así, cómo podría explotarse?

¿Debería cada archivo de páginas incluir functions.php para verificar los derechos, y verificar por separado si se llama por sí solo, o es suficiente simplemente para fallar la compilación y enviar una página vacía al navegador?

    
pregunta VVZPHIL 07.07.2017 - 16:18
fuente

1 respuesta

1

Es suficiente confiar en el error de compilación, pero hace que su página web sea más propensa a errores. Por ejemplo, tal vez en algún momento (accidentalmente) habilitará la salida de error php y luego tendrá una divulgación de información. Siempre debes hacer que sea difícil cometer errores.

    
respondido por el 40F4 08.07.2017 - 22:53
fuente

Lea otras preguntas en las etiquetas