Редактирование файлов через админку CMS - безопасность

Доброго времени суток.

Сделал в одном скрипте редактирование некоторых файлов через админку. Так как в файлах некоторая инфа часто меняется, то так удобнее.

Но столкнулся с тем, что можно получить доступ к другому файлу.

Файлы сами в разных папках. какой файл править получаю из GET
т.е. edit=/folder1/file1.php
Но вот если прописать edit=../../conf.php, то и его читать можно.
Сейчас тупо вырезаю из получаемого GET .. (две точки), чтобы нельзя было лазить в другие каталоги. Но вроде как это не особо и правильно.

Как тут лучше поступить?

Запрос в url :
index.php?edit=conf

обработка например так

-----
Чем больше узнаю, тем больше я не знаю.

Вся штука в том, что там несколько папок и вложенных папок и файле не только php, но и html и css и js
по этому в get ставлю полный путь.
Т.е. файл может лежать не только /file.php, но и /folder/folder/file.php и /folder/file.php
(Добавление)
Как вариант заранее занести в массив весь список нужных файлов для изменения. Но файлы добавляются или удаляются.

Если тут получается сильно заковыристо, может тогда вообще отказаться от этого и править непосредственно через FTP?

сорри, невнимательно прочитал.

-----
Чем больше узнаю, тем больше я не знаю.

Данная система будет работать на "конечного" пользователя или для Вас? Ибо для себя мне гораздо удобней редактировать файлы по фтп, а для пользователей есть система редактирования страничек (не файлов). Или я Вас неправильно понял.

А ещё лучше привести пример структуры сайта и какие именно файлы нужно изменять.

(Отредактировано автором: 03 Апреля, 2012 - 09:04:00)

Для конечного. Мне то не сложно и по ftp правочку сделать, а вот не шарящим удобнее из админки.

Конечной структуры нет. Папки и файлы добавляются и удаляются.
Есть отдельная папка files в ней уже и файлы и папки как попало лежат.
Т.е. как писал выше, некоторые могут быть в подпапках, некоторые в корне и т.д...
А вот корневая не меняется. Т.е. название как есть files, так и остается.
Я вот думаю может как-то на ней фиксировать файлы? Т.е. если файл не из этой папки, то не редактировать его вовсе, если из этой, то открывать.

Какая информация содержится в этих файлах? В них текст, стили, html или вовсе контент для страничек сайта?

html, css - как положено html и css
php файлы со всякими мелкими функциями или константами.
Сейчас то все работает корректно, но вот возможность править другие файлы, не из папки files эт большая такая дырень получается

dropoff
Равно как и php-файлы из "правильной" папки, так как в этом случае создать там какой-либо веб-шелл не составляет труда.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

По моему не имеет смысла плясать с бубном и ваять редактирование html, css и тем более php через веб форму. Опасно, ненужно и непрактично.

Если конечный пользователь "собирается" редактировать файлы через веб морду, то он естественно должен знать язык разметки, стилей и пхп.
Я склонен к фтп. А Вы ещё раз подумайте над необходимостью реализации данной фичи.

Если php файлы не вызываются на прямую из этой папки, а к примеру подключаются, нужно отключить интерпретатор для этой папки.

По поводу вопроса:

-----
Когда всматриваешься в тёмную бездну, учти, что кто-то может смотреть на тебя из неё...

EuGen, там ограничение доступа есть. Т.е. не каждый может править файлы из админки.
Но вот лазить по другим файлам, тем у кого да же доступ есть не желательно совсем.
Запускать файлы из этот папки не получится. php файлы инклудятся в других.
В смысле там

Ломаются любые сайты.

Если есть корневая папка, то можно канонизировать абсолютный путь к файлу
realpath($_GET['edit']) - это "развернет" все точки в реальные пути файловой системы,
и проверять наличие вначале полученного пути строки с $_SERVER['DOCUMENT_ROOT'].'/root_edit_folder/'

-----
Чем больше узнаю, тем больше я не знаю.

DelphinPRO, спасибо!

avtor.fox, не спорю