allow_url_include的应用和解释_PHP教程-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

allow_url_include的应用和解释_PHP教程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 21, 2016 pm 02:53 PM

includephpurl그리고그것수입애플리케이션구현하다~의설명하다

PHP常常因为它可能允许URLS被导入和执行语句被人们指责。事实上，这件事情并不是很让人感到惊奇，因为这是导致称为Remote URL Include vulnerabilities的php应用程序漏洞的最重要的原因之一。

因为这个原因，许多安全研究人员建议在php.ini配置中禁用指向allow_url_fopen。不幸的是，许多推荐这种方法的人，并没有意识到，这样会破坏很多的应用并且并不能保证100%的解决remote URL includes以及他带来的不安全性。

通常，用户要求在他们使用其他的文件系统函数的时候，php允许禁止URL包含和请求声明支持。

因为这个原因，计划在PHP6中提供allow_url_include。在这些讨论之后，这些特性在php5.2.0 中被backported。现在大多数的安全研究人员已经改变了他们的建议，只建议人们禁止allow_url_include。

不幸的是，allow_url_fopen和allow_url_include并不是导致问题的原因。一方面来说在应用中包含本地文件仍然是一件足够危险的事情，因为攻击者经常通过sessiondata, fileupload, logfiles,...等方法获取php代码………

另一方面allow_url_fopen和allow_url_include只是保护了against URL handles标记为URL.这影响了http(s) and ftp(s)但是并没有影响php或date(new in php5.2.0) urls.这些url形式，都可以非常简单的进行php代码注入。

Example 1: Use php://input to read the POST data

＜?php
// Insecure Include
// The following Include statement will
// include and execute everything POSTed
// to the server

include "php://input";
?＞

Example 2: Use data: to Include arbitrary code

＜?php
// Insecure Include
// The following Include statement will
// include and execute the base64 encoded
// payload. Here this is just phpinfo()

include "data:;base64,PD9waHAgcGhwaW5mbygpOz8+";
?＞

把这些放到我们的运算里面将会非常明显的发现既不是url_allow_fopen也不是url_allor_include 被保障。这些只是因为过滤器很少对矢量进行过滤。能够100%解决这个URL include vulnerabilities的方法是我们的Suhosin扩展.

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

PHP函数介绍—get_headers(): 获取URL的响应头信息Jul 25, 2023 am 09:05 AM

PHP函数介绍—get_headers():获取URL的响应头信息概述：在PHP开发中，我们经常需要获取网页或远程资源的响应头信息。PHP函数get_headers()能够方便地获取目标URL的响应头信息，并以数组形式返回。本文将介绍get_headers()函数的用法，以及提供一些相关的代码示例。get_headers()函数的用法：get_header

为什么NameResolutionError(self.host, self, e) from e，怎么解决Mar 01, 2024 pm 01:20 PM

报错的原因NameResolutionError(self.host,self,e)frome是由urllib3库中的异常类型,这个错误的原因是DNS解析失败,也就是说,试图解析的主机名或IP地址无法找到。这可能是由于输入的URL地址不正确,或者DNS服务器暂时不可用导致的。如何解决解决此错误的方法可能有以下几种:检查输入的URL地址是否正确,确保它是可访问的确保DNS服务器可用,您可以尝试在命令行中使用"ping"命令来测试DNS服务器是否可用尝试使用IP地址而不是主机名来访问网站如果是在代理

怎样透过几个步骤获取您的 Steam ID？May 08, 2023 pm 11:43 PM

现在很多热爱游戏的windows用户都进入了Steam客户端，可以搜索、下载和玩任何好游戏。但是，许多用户的个人资料可能具有完全相同的名称，这使得查找个人资料或什至将Steam个人资料链接到其他第三方帐户或加入Steam论坛以共享内容变得困难。为配置文件分配了一个唯一的17位id，它保持不变，用户无法随时更改，而用户名或自定义URL可以更改。无论如何，一些用户并不知道他们的Steamid，这对于了解这一点非常重要。如果您也不知道如何找到您帐户的Steamid，请不要惊慌。在这篇文

如何在Java中使用URL编码和解码May 08, 2023 pm 05:46 PM

使用url进行编码和解码编码和解码的类java.net.URLDecoder.decode(url,解码格式)解码器.解码方法。转化成普通字符串，URLEncoder.decode(url,编码格式)将普通字符串变成指定格式的字符串packagecom.zixue.springbootmybatis.test;importjava.io.UnsupportedEncodingException;importjava.net.URLDecoder;importjava.net.URLEncoder

html和url的区别是什么Mar 06, 2024 pm 03:06 PM

区别：1、定义不同，url是是统一资源定位符，而html是超文本标记语言；2、一个html中可以有很多个url，而一个url中只能存在一个html页面；3、html指的是网页，而url指的是网站地址。

Scrapy优化技巧：如何减少重复URL的爬取，提高效率Jun 22, 2023 pm 01:57 PM

Scrapy是一个功能强大的Python爬虫框架，可以用于从互联网上获取大量的数据。但是，在进行Scrapy开发时，经常会遇到重复URL的爬取问题，这会浪费大量的时间和资源，影响效率。本文将介绍一些Scrapy优化技巧，以减少重复URL的爬取，提高Scrapy爬虫的效率。一、使用start_urls和allowed_domains属性在Scrapy爬虫中，可

SpringBoot多controller如何添加URL前缀May 12, 2023 pm 06:37 PM

前言在某些情况下，服务的controller中前缀是一致的，例如所有URL的前缀都为/context-path/api/v1，需要为某些URL添加统一的前缀。能想到的处理办法为修改服务的context-path，在context-path中添加api/v1，这样修改全局的前缀能够解决上面的问题，但存在弊端，如果URL存在多个前缀，例如有些URL需要前缀为api/v2，就无法区分了，如果服务中的一些静态资源不想添加api/v1，也无法区分。下面通过自定义注解的方式实现某些URL前缀的统一添加。一、

url是啥意思Aug 04, 2023 am 11:43 AM

url是“Uniform Resource Locator”的缩写，中文意为“统一资源定位符”。URL是通过互联网来定位和访问特定资源的地址，常见于网页浏览和HTTP请求中。URL的主要作用是定位和访问互联网上的资源，这些资源可以是网页、图片、视频、文档或其他文件。

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

MinGW - Windows용 미니멀리스트 GNU

이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.

안전한 시험 브라우저

안전한 시험 브라우저는 온라인 시험을 안전하게 치르기 위한 보안 브라우저 환경입니다. 이 소프트웨어는 모든 컴퓨터를 안전한 워크스테이션으로 바꿔줍니다. 이는 모든 유틸리티에 대한 액세스를 제어하고 학생들이 승인되지 않은 리소스를 사용하는 것을 방지합니다.

Eclipse용 SAP NetWeaver 서버 어댑터

Eclipse를 SAP NetWeaver 애플리케이션 서버와 통합합니다.

SublimeText3 영어 버전

권장 사항: Win 버전, 코드 프롬프트 지원!

mPDF

mPDF는 UTF-8로 인코딩된 HTML에서 PDF 파일을 생성할 수 있는 PHP 라이브러리입니다. 원저자인 Ian Back은 자신의 웹 사이트에서 "즉시" PDF 파일을 출력하고 다양한 언어를 처리하기 위해 mPDF를 작성했습니다. HTML2FPDF와 같은 원본 스크립트보다 유니코드 글꼴을 사용할 때 속도가 느리고 더 큰 파일을 생성하지만 CSS 스타일 등을 지원하고 많은 개선 사항이 있습니다. RTL(아랍어, 히브리어), CJK(중국어, 일본어, 한국어)를 포함한 거의 모든 언어를 지원합니다. 중첩된 블록 수준 요소(예: P, DIV)를 지원합니다.