1
是否可以在執行之前清理包含以確保它在服務器上存在?在使用白名單執行之前清理包含文件
我想避免攻擊者使用某種白名單來危害文件路徑,這可能嗎?
我有看起來像這樣:
require_once('../includes/front/header.php');
A
回答
3
路徑怎麼會受到損害? (除非你require_once包含用戶輸入 - 避免這種情況!)
你可以只檢查文件是否存在使用file_exists:
如。
if(file_exists('../includes/front/header.php')) {
require_once('../includes/front/headers.php');
}
如果你確實想要一個白名單,雖然你可以只創建允許路徑/文件名的array,然後只用in_array檢查它的有效性。
+0
好吧,您說有沒有必要創建白名單,因爲沒有用戶輸入? – user1278496 2012-04-10 15:12:45
+0
是的,這幾乎是:) – billyonecan 2012-04-10 15:17:58
+0
好吧,你可以告訴在什麼情況下require_once包含用戶輸入? :■ – user1278496 2012-04-10 15:19:29
1
應儘可能用PHP和白名單中的file_exists功能:
$allowed_files = array('../includes/front/header.php','../includes/front/footer.php');
$include_file = <string with file/path>; //EG '../includes/front/header.php'
if (in_array($include_file,$allowed_files && file_exists($include_file)) {
require_once($include_file);
}
如果你的路徑是硬編碼到PHP腳本,不接受用戶輸入一個文件名,那麼你不應該消毒你自己的文件名/路徑
0
你可以寫你自己的包括可以驗證阿蓋伊列出「允許」路徑。
即使用上述,但將其包裝在一個函數中。
相關問題
- 1. Artifactory Cocoapods包含/白名單
- 2. 包含清單的jar文件之外的jar文件問題
- 3. 用白名單清理下拉選項
- 4. 在包含文件之後或之前進行檢查
- 5. 如何使用可執行文件夾包含文本文件
- 6. 在包含()之前使用變量
- 7. 在批處理文件中使用SetDelayedExpansion:處理包含!的目錄/文件名!
- 8. 是在其參數之前執行的包含函數嗎?
- 9. 如何自動在清單文件中包含jar文件
- 10. 如何在程序啓動之前執行批處理文件?
- 11. 執行備份前清理.net項目文件夾
- 12. 在使用eval執行動態JavaScript之前,jQuery如何清理動態加載的JavaScript文件?
- 13. PHP:在包含文件被包含之前,如何引用變量?
- 14. 在使用curl獲取文件之前,是否需要在$ _POST中清理文件名?
- 15. 包含validation.php文件不會執行
- 16. 在將文件包含在安裝程序包中之前複製文件NSIS
- 17. 使用清單文件打包jar文件中的包
- 18. 在解析之前在Python中清理XML文件
- 19. 可執行文件的名稱中是否包含版本號?
- 20. 在殺死應用程序之前執行強制性清理操作
- 21. 如何在使用pyinstaller的可執行文件中包含.dll文件?
- 22. 如何使用mt.exe將清單添加到可執行文件?
- 23. 表單提交處理程序在ajaxStop之前執行
- 24. addEventListener單擊之前單擊已執行
- 25. 在加載到Apache-jena TDB triplestore之前清理YAGO文件
- 26. JavaScript使用戶在執行下一個操作之前單擊
- 27. 將外部文件包含在緩存清單中可以嗎?
- 28. mod_security白名單文件
- 29. 在退出之前在node.js中清理
- 30. Windows批處理作業在文件名前面的所有行之前
'require'的要點是,如果因爲文件是必需的,找不到它就會停止執行。如果你不想這樣做,只需使用'include'與'file_exists()'或'is_file()'結合使用。 – jeroen 2012-04-10 15:08:21