allow_url_include的应用和解释_PHP-PHP Tutorial-php.cn

Home

Backend Development

PHP Tutorial

allow_url_include的应用和解释_PHP

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 01, 2016 pm 12:20 PM

includephpapplicationexplain

PHP常常因为它可能允许URLS被导入和执行语句被人们指责。事实上，这件事情并不是很让人感到惊奇，因为这是导致称为Remote URL Include vulnerabilities的php应用程序漏洞的最重要的原因之一。

因为这个原因，许多安全研究人员建议在php.ini配置中禁用指向allow_url_fopen。不幸的是，许多推荐这种方法的人，并没有意识到，这样会破坏很多的应用并且并不能保证100%的解决remote URL includes以及他带来的不安全性。

通常，用户要求在他们使用其他的文件系统函数的时候，php允许禁止URL包含和请求声明支持。

因为这个原因，计划在PHP6中提供allow_url_include。在这些讨论之后，这些特性在php5.2.0 中被backported。现在大多数的安全研究人员已经改变了他们的建议，只建议人们禁止allow_url_include。

不幸的是，allow_url_fopen和allow_url_include并不是导致问题的原因。一方面来说在应用中包含本地文件仍然是一件足够危险的事情，因为攻击者经常通过sessiondata, fileupload, logfiles,...等方法获取php代码………

另一方面allow_url_fopen和allow_url_include只是保护了against URL handles标记为URL.这影响了http(s) and ftp(s)但是并没有影响php或date(new in php5.2.0) urls.这些url形式，都可以非常简单的进行php代码注入。

Example 1: Use php://input to read the POST data

＜?php
// Insecure Include
// The following Include statement will
// include and execute everything POSTed
// to the server

include "php://input";
?＞

Example 2: Use data: to Include arbitrary code

＜?php
// Insecure Include
// The following Include statement will
// include and execute the base64 encoded
// payload. Here this is just phpinfo()

include "data:;base64,PD9waHAgcGhwaW5mbygpOz8+";
?＞

把这些放到我们的运算里面将会非常明显的发现既不是url_allow_fopen也不是url_allor_include 被保障。这些只是因为过滤器很少对矢量进行过滤。能够100%解决这个URL include vulnerabilities的方法是我们的Suhosin扩展.

Statement

The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn

如何自动切换特定应用程序的iPhone方向锁定Jun 06, 2023 am 08:22 AM

在iOS中，当您将iPhone从纵向旋转到横向时，许多App会显示不同的视图。根据应用程序及其使用方式，这种行为并不总是可取的，这就是Apple在“控制中心”中包含方向锁定选项的原因。但是，某些应用程序在禁用方向锁定的情况下工作得更有用-想想YouTube或照片应用程序，将设备旋转到横向可以提供更好的全屏观看体验。如果您倾向于保持锁定状态，则必须在每次打开这些类型的应用程序时在“控制中心”中禁用它以获得全屏体验。然后，当您关闭应用程序时，您必须记住重新打开方向锁定，这并不理想。幸运的是，您可以创

2.8k屏幕是什么解析Jan 02, 2024 pm 12:21 PM

我们经常会在购买电视，电脑或者手机时看到多少K屏幕这种介绍，例如2.8K屏幕。每当这个时候就会有对电子设备不太了解的小伙伴好奇这个2.8K屏幕到底是什么意思，分辨率又是什么。2.8k屏幕什么意思答：2.8k屏幕的意思是屏幕的分辨率为2880*18002K就是横向像素点数量大于2000，相同大小的屏幕，分辨率越高画面质量越好。分辨率介绍1、由于屏幕上的点、线和面都是由像素组成的，显示器可显示的像素越多，画面就越精细，同样的屏幕区域内能显示的信息也越多。2、分辨率越高，像素的数目越多，感应到的图像越

在虚拟 Windows 11 桌面上应用自定义壁纸的简单技巧May 02, 2023 pm 02:01 PM

如果您每天都使用虚拟桌面，那么我们有好消息要告诉您！在Windows10InsiderBuilds上进行多次测试后，在虚拟桌面上应用自定义壁纸的功能现在已成为Windows11的一部分。虽然现在，在Windows10上，您可以打开多个桌面，但不可能在每个桌面上使用不同的壁纸。随着下周第一个Windows11InsiderBuild版本的发布，您将能够轻松地做到这一点。通常，虚拟桌面用于特定的应用程序和操作，并且大部分时间用于保持事物井井有条。但是，如果您还想使用自定义壁纸个性化

Go语言中的RPC框架原理与应用Jun 01, 2023 pm 03:01 PM

一、RPC框架的概念在分布式系统中，常常需要在不同的服务端和客户端之间传递数据，RPC（RemoteProcedureCall）框架是一种常用的技术手段。RPC框架允许应用程序通过远程消息传递调用另一个执行环境的函数或方法，从而使程序能够在不同的计算机上运行。目前市面上有很多RPC框架，如Google的gRPC、Thrift、Hessian等，本文主要介

AI人必看！外媒总结最佳AI应用，你用过几个？May 27, 2023 pm 07:42 PM

人工智能是一种有前途的技术，在许多领域都变得不可或缺。它集成到一系列应用程序和软件中，以显著提高生产力。对于许多专家来说，最能掌握人工智能工作方式的公司和人员无疑将成为明天世界的领导者。然后，重要的是要识别这些工具并控制它们的工作方式。目前，人工智能市场已经拥有许多技术，这些技术具有非常有趣且特殊的特征。对此，国外媒体评选出了2023年25个最好的人工智能产品或应用。1.ChatGPTChatGPT聊天由美国人工智能公司OPENAI开发，现在被视为人工智能革命的引擎。它确实是一个强大的工具，能够

基于对抗梯度的探索模型及其在点击预估中的应用Apr 13, 2023 pm 11:34 PM

1. 摘要排序模型在广告、推荐和搜索系统中起到了至关重要的作用。在排序模块中，点击率预估技术又是重中之重。目前工业界的点击率预估技术大多采用深度学习算法，基于数据驱动来训练深度神经网络，然而数据驱动带来的相应问题是推荐系统中的新进项目会存在冷启动问题。探索与利用（Exploration-Exploitation，E&E）方法通常用于处理大规模在线推荐系统中的数据循环问题。过去的研究通常认为模型预估不确定度高意味着潜在收益也较高，因此大部分研究文献聚焦到对不确定度的估计上。对于采用

她用10年日记训练GPT-3，对话童年的自己，网友：AI最治愈的应用Apr 12, 2023 pm 04:25 PM

“这是我目前听过关于AI最好、最治愈的一个应用。”到底是什么应用，能让网友给出如此高度的评价？原来，一个脑洞大开的网友Michelle，用GPT-3造了一个栩栩如生的“童年Michelle”。然后她和童年的自己聊起了天，对方甚至还写来一封信。“童年Michelle”的“学习资料”也很有意思——是Michelle本人的日记，而且是连续十几年，几乎每天都写的那种。日记内容中有她的快乐和梦想，也有恐惧和抱怨；还有很多小秘密，包括和Crush聊天时紧张到眩晕…（不爱写日记的我真的给跪了……）厚厚一叠日记

浅析：ChatGPT应用的底层原理Apr 13, 2023 am 08:37 AM

ChatGPT 无疑是最近网络中最靓的仔，小汪哥通过这段时间的使用，加上对一些资料的查阅，了解了一些背后的原理，试图讲解一下ChatGPT应用的底层原理。如果有不正确的地方，欢迎指正。阅读本文可能为会你解答以下问题：为什么有的ChatGPT 收费，有的不收费？为什么ChatGPT是一个字一个字地回答的？为什么中文问题的答案有时候让人啼笑皆非？为什么你问它今天是几号，它的回答是过去的某个时间？为什么有的问题会拒绝回答？“ChatGPT 国内版” 运行原理随着ChatGPT的爆火，出现了很多国内版，

See all articles

Hot AI Tools

Undresser.AI Undress

AI-powered app for creating realistic nude photos

AI Clothes Remover

Online AI tool for removing clothes from photos.

Undress AI Tool

Undress images for free

Clothoff.io

AI clothes remover

AI Hentai Generator

Generate AI Hentai for free.

Hot Article

R.E.P.O. Energy Crystals Explained and What They Do (Yellow Crystal)

2 weeks agoBy尊渡假赌尊渡假赌尊渡假赌

Repo: How To Revive Teammates

4 weeks agoBy尊渡假赌尊渡假赌尊渡假赌

Hello Kitty Island Adventure: How To Get Giant Seeds

4 weeks agoBy尊渡假赌尊渡假赌尊渡假赌

How Long Does It Take To Beat Split Fiction?

3 weeks agoByDDD

R.E.P.O. Save File Location: Where Is It & How to Protect It?

3 weeks agoByDDD

Hot Tools

WebStorm Mac version

Useful JavaScript development tools

MinGW - Minimalist GNU for Windows

This project is in the process of being migrated to osdn.net/projects/mingw, you can continue to follow us there. MinGW: A native Windows port of the GNU Compiler Collection (GCC), freely distributable import libraries and header files for building native Windows applications; includes extensions to the MSVC runtime to support C99 functionality. All MinGW software can run on 64-bit Windows platforms.