您现在的位置是:首页 > 学无止境
如何安全的Include文件
转载自:http://huoding.com/2014/02/25/329
似乎多数人都觉得Include文件是一件非常简单的事情,可惜漏洞往往出现在我们忽视的地方。正所谓千里之堤溃于蚁穴,二战期间,法国人寄希望与马奇诺防线,却忽视了原本认为非常安全的阿登高地,让德国人有机可乘,最终的结果大家都...
似乎多数人都觉得Include文件是一件非常简单的事情,可惜漏洞往往出现在我们忽视的地方。正所谓千里之堤溃于蚁穴,二战期间,法国人寄希望与马奇诺防线,却忽视了原本认为非常安全的阿登高地,让德国人有机可乘,最终的结果大家都...
转载自:http://huoding.com/2014/02/25/329
似乎多数人都觉得Include文件是一件非常简单的事情,可惜漏洞往往出现在我们忽视的地方。正所谓千里之堤溃于蚁穴,二战期间,法国人寄希望与马奇诺防线,却忽视了原本认为非常安全的阿登高地,让德国人有机可乘,最终的结果大家都知道了。
下面这个例子虽然是我杜撰的,但是我确信现实情况里一定存在类似的问题:
<?php
$debug = false;
// ...
$config = include 'config.php';
// ...
if ($debug) {
phpinfo();
}
?>码农在代码中埋了一个调试开关,缺省是关闭状态,必要的时候可以开启,以便显示一些特殊的信息,同时代码里包含了一个配置文件,它的内容大致如下所示:<?php
return array(
'foo' => '...',
'bar' => '...',
);
?>突然有一天,码农因为一些其它的缘由修改了配置文件,引入了一些临时变量:<?php
$debug = true;
$config = array(
'foo' => '...',
'bar' => '...',
);
/*
if ($debug) {
var_dump($config);
}
*/
return $config;
?>结果问题产生了!配置文件里的临时变量(debug)污染了其它脚本的变量空间,进而导致代码执行的结果不再符合预期,最终问题也就在所难免了。如何安全的Include文件?很简单,在Include的时候注意限制变量的作用域即可:
<?php
$config = call_user_func(function() {
return include 'config.php';
});
?>类似的做法在Javascript中很常见,但在PHP中却鲜有人注意,你的代码有问题么?杜绝一切全局变量
文章评论
- 登录后评论
点击排行
-
php-fpm安装、配置与优化
转载自:https://www.zybuluo.com/phper/note/89081 1、php中...
-
centos下postgresql的安装与配置
一、安装(以root身份进行)1、检出最新的postgresql的yum配置从ht...
-
Mysql的大小写敏感性
MYSQL在默认的情况下查询是不区分大小写的,例如:CREATE TABLE...
-
关于URL编码
转载自:http://www.ruanyifeng.com/blog/2010/02/url_encoding....
-
header中的Cache-control
网页的缓存是由HTTP消息头中的“Cache-control”来控制的,常见的...