Maison > Article > développement back-end > Comment empêcher la porte dérobée en php
Prévention des URL de porte dérobée PHP
L'URL dite de porte dérobée fait référence à une ressource qui n'a pas besoin d'être appelée directement, mais peut être accessible directement via l'URL.
Par exemple, une application Web peut afficher des informations sensibles aux utilisateurs connectés.
Recommandations associées : "Tutoriel d'introduction à PHP"
Exemple de code :
<?php $authenticated = FALSE; $authenticated = check_auth(); if ($authenticated) { include './sensitive.php'; } ?>
Analyse des risques :
Étant donné que sensible.php se trouve dans le répertoire principal du site Web, le navigateur peut ignorer le mécanisme de vérification et accéder directement au fichier. En effet, tous les fichiers du répertoire principal du site Web ont une adresse URL correspondante. Dans certains cas, ces scripts peuvent effectuer une opération importante, ce qui augmente le risque.
Solution :
Afin d'éviter les URL de porte dérobée, vous devez vous assurer que tous les fichiers inclus sont enregistrés en dehors du répertoire principal du site Web. Tous les fichiers enregistrés dans le répertoire principal du site Web doivent être directement accessibles via une URL.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!