PHP セキュリティ - バックドア URL

バックドアURL

バックドア URL は、直接呼び出されずに URL を通じて直接アクセスできるリソースを指します。たとえば、次の WEB アプリケーションは、ログインしているユーザーに機密情報を表示する可能性があります:

<?php
 
  $authenticated = FALSE;
  $authenticated = check_auth();
 
  /* ... */
 
  if ($authenticated)
  {
      include &#39;./sensitive.php&#39;;
  }
 
  ?>

Sensitive.php は Web サイトのメイン ディレクトリにあるため、ブラウザは検証メカニズムをスキップしてファイルに直接アクセスできます。これは、Web サイトのメイン ディレクトリ内のすべてのファイルに、対応する URL アドレスがあるためです。場合によっては、これらのスクリプトが重要な操作を実行する可能性があり、リスクが高まります。

バックドア URL を防ぐには、含まれるすべてのファイルを Web サイトのホーム ディレクトリの外に保存する必要があります。 Web サイトのホーム ディレクトリに保存されているすべてのファイルには、URL を介して直接アクセスする必要があります。

上記は PHP Security-Backdoor URL の内容です。その他の関連コンテンツについては、PHP 中国語 Web サイト (www.php.cn) にご注意ください。