码迷,mamicode.com
首页 > Web开发 > 详细

PHP技巧:包含远程文件正确用法

时间:2016-04-15 11:47:11      阅读:130      评论:0      收藏:0      [点我收藏+]

标签:

PHP常常因为它可能允许URLS被导入和执行语句被人们指责。事实上,这件事情并不是很让人感到惊奇,因为这是导致称为Remote URL Include vulnerabilities的php应用程序漏洞的最重要的原因之一。

因为这个原因,许多安全研究人员建议在php.ini配置中禁用指向allow_url_fopen。不幸的是,许多推荐这种方法的人,并没有意识到,这样会破坏很多的应用并且并不能保证100%的解决remote URL includes以及他带来的不安全性。

通常,用户要求在他们使用其他的文件系统函数的时候,php允许禁止URL包含和请求声明支持。

因为这个原因,计划在PHP6中提供allow_url_include。在这些讨论之后,这些特性在php5.2.0 中被backported。现在大多数的安全研究人员已经改变了他们的建议,只建议人们禁止allow_url_include。

不幸的是,allow_url_fopen和allow_url_include并不是导致问题的原因。一方面来说在应用中包含本地文件仍然是一件足够危险的事情,因为攻击者经常通过sessiondata, fileupload, logfiles,...等方法获取php代码………

另一方面allow_url_fopen和allow_url_include只是保护了against URL handles标记为URL.这影响了http(s) and ftp(s)但是并没有影响php或date(new in php5.2.0) urls.这些url形式,都可以非常简单的进行php代码注入。

例1: Use php://input to read the POST data

<?php

// Insecure Include

// The following Include statement will

// include and execute everything POSTed

// to the server

include "php://input";

?>

精装照片书 http://www.biyinjishi.com/products/a65-b6530/d100131/
高端照片书 http://www.biyinjishi.com/products/a65-b6530/d100132/
相册影集 http://www.biyinjishi.com/products/a65-b6530/d100133/
木版画 http://www.biyinjishi.com/products/a65-b6535/d100135/
水晶版画 http://www.biyinjishi.com/products/a65-b6535/d100136/
照片相框 http://www.biyinjishi.com/products/a65-b6535/d100137/
创意家居 http://www.biyinjishi.com/products/a65-b6550/d100137
杯子 http://www.biyinjishi.com/products/a65-b6550/d100139/
T恤衫 http://www.biyinjishi.com/products/a65-b6550/d100140/
卫衣 http://www.biyinjishi.com/products/a65-b6550/d100140/
记事本 http://www.biyinjishi.com/products/a65-b6550/d100141/
手机周边 http://www.biyinjishi.com/products/a65-b6550/d100142/
抱枕 http://www.biyinjishi.com/products/a65-b6550/d100143/
请柬 http://www.biyinjishi.com/products/a65-b6550/d100144/
贺卡 http://www.biyinjishi.com/products/a65-b6550/d100144/
文集 http://www.biyinjishi.com/products/a65-b6550/d100148/
诗集 http://www.biyinjishi.com/products/a65-b6550/d100148/

 

PHP技巧:包含远程文件正确用法

标签:

原文地址:http://www.cnblogs.com/SA-Jim/p/5394695.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!