Facebook Sharer
选择您要替换的背景颜色:
【农历新年】背景图片:
个性化设定
 注册  找回密码
查看: 2472|回复: 4
打印 上一主题 下一主题

预防 remote file inclusion

 关闭 [复制链接]

0

主题

0

好友

63

积分

中级会员

Rank: 2Rank: 2

跳转到指定楼层
1#
发表于 2009-6-25 11:41 AM |只看该作者 |倒序浏览
请问各位 php 高手,你们是怎样预防 remote file inclusion 的?上网找了些资料,有的是很简单的方法。。。
有些却提到许多复杂的东西,我所不明白的,所以我想问问有经验的高手们,你们都是用那些 standard 的方法来预防的?毕竟网上所提的太多了也是我理解能力以外的,所以希望大家能帮帮我!谢谢!




收藏收藏0

7

主题

1

好友

5108

积分

一流名嘴

Rank: 12Rank: 12Rank: 12

2#
发表于 2009-6-25 12:34 PM |只看该作者
原帖由 bluecloud08 于 2009-6-25 11:41 AM 发表
请问各位 php 高手,你们是怎样预防 remote file inclusion 的?上网找了些资料,有的是很简单的方法。。。
有些却提到许多复杂的东西,我所不明白的,所以我想问问有经验的高手们,你们都是用那些 standard 的 ...



不要使用變數做為 include 的檔案名稱
如果真的要使用變數的話, 那麼就判斷變數是否為 local 檔路徑


p/s: 如果 PHP 的 register global 是 on 的話, 就請關閉

[ 本帖最后由 Super-Tomato 于 2009-6-25 12:36 PM 编辑 ]


回复

使用道具 举报

0

主题

0

好友

63

积分

中级会员

Rank: 2Rank: 2

3#
发表于 2009-6-25 02:04 PM |只看该作者
原帖由 Super-Tomato 于 2009-6-25 12:34 PM 发表



不要使用變數做為 include 的檔案名稱
如果真的要使用變數的話, 那麼就判斷變數是否為 local 檔路徑


p/s: 如果 PHP 的 register global 是 on 的話, 就請關閉


怎样判断变数是否为 local路径?

我还读到这个

  1. php_flag allow_url_fopen off
  2. php_flag allow_url_include off
复制代码


是吗?

通常这些就够了吗?我在网上读到一些对我来讲很难明白的。。。


回复

使用道具 举报

7

主题

1

好友

5108

积分

一流名嘴

Rank: 12Rank: 12Rank: 12

4#
发表于 2009-6-25 04:09 PM |只看该作者
原帖由 bluecloud08 于 2009-6-25 02:04 PM 发表


怎样判断变数是否为 local路径?


最簡單的方法就是使用 strpos 判別是否為其他網址, 如 http:// 等字樣



原帖由 bluecloud08 于 2009-6-25 02:04 PM 发表
我还读到这个

php_flag allow_url_fopen off
php_flag allow_url_include off


是吗?

通常这些就够了吗?我在网上读到一些对我来讲很难明白的。。。



我一般都沒去設定, 所以 php 設定是根據個人所需, ini 中希望甚麼功能開啟或關閉需使用  ini_set 函數

[ 本帖最后由 Super-Tomato 于 2009-6-25 04:11 PM 编辑 ]


回复

使用道具 举报

0

主题

0

好友

63

积分

中级会员

Rank: 2Rank: 2

5#
发表于 2009-6-25 05:48 PM |只看该作者
原帖由 Super-Tomato 于 2009-6-25 04:09 PM 发表


最簡單的方法就是使用 strpos 判別是否為其他網址, 如 http:// 等字樣






我一般都沒去設定, 所以 php 設定是根據個人所需, ini 中希望甚麼功能開啟或關閉需使用  ini_set 函數


那就是这样,strpos(myvariable,"http://")?

那你只是用以上你所提及的方法来处理这个 remote file inclusion attack ?因为我没有任何经验,所以就给所找到的资料搞到很乱。。。
若一般上有经验者都是使用这些防护的话,那我想就不用加上其他的了。。。何况我也不懂。。。

谢谢!


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

JBTALKS.CC |联系我们 |隐私政策 |Share

GMT+8, 2024-11-25 04:21 PM , Processed in 0.110908 second(s), 26 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

Ultra High-performance Dedicated Server powered by iCore Technology Sdn. Bhd.
Domain Registration | Web Hosting | Email Hosting | Forum Hosting | ECShop Hosting | Dedicated Server | Colocation Services
本论坛言论纯属发表者个人意见,与本论坛立场无关
Copyright © 2003-2012 JBTALKS.CC All Rights Reserved
合作联盟网站:
JBTALKS 马来西亚中文论坛 | JBTALKS我的空间 | ICORE TECHNOLOGY SDN. BHD.
回顶部