Bagaimana untuk mengelakkan serangan kemasukan fail menggunakan PHP-tutorial php-php.cn

Rumah

pembangunan bahagian belakang

tutorial php

Bagaimana untuk mengelakkan serangan kemasukan fail menggunakan PHP

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 24, 2023 pm 04:22 PM

phpmencegahMengandungi serangan

Dengan perkembangan pesat Internet, isu keselamatan telah menjadi isu penting yang tidak boleh diabaikan. Serangan kemasukan fail adalah kaedah serangan yang sangat biasa dan berbahaya Perkara utama ialah penyerang boleh menggunakan kelemahan ini untuk mendapatkan maklumat sensitif pada pelayan. Oleh itu, cara menggunakan PHP untuk mengelakkan serangan kemasukan fail telah menjadi masalah yang mesti diselesaikan oleh ramai pembangun.

1. Fahami serangan kemasukan fail

Serangan kemasukan fail ialah serangan web biasa dan disenaraikan sebagai salah satu daripada sepuluh kelemahan keselamatan web teratas OWASP (Projek Keselamatan Aplikasi Web Terbuka). Ia boleh dibahagikan kepada kemasukan fail tempatan (LFI) dan kemasukan fail jauh (RFI).

Terdedah kepada serangan LFI apabila menggunakan data luaran yang tidak ditapis untuk menjana laluan fail. Sebagai contoh, kod berikut menggabungkan nama fail yang diserahkan pengguna dengan nama laluan:

<?php
$file = '/home/user/'. $_GET['file'];
include($file);
?>

Serangan LFI berlaku apabila pengguna menyediakan data menggunakan laluan relatif seperti ../.

Serangan RFI bermakna penyerang boleh melaksanakan kod jauhnya sendiri dalam pelayan. Sebagai contoh, kod berikut termasuk URL yang diserahkan pengguna secara langsung melalui fungsi file_get_contents():

<?php
$url = $_GET['url'];
$content = file_get_contents($url);
echo $content;
?>

Serangan RFI berlaku apabila penyerang membekalkan URL hasad mereka sendiri.

2. Cegah serangan LFI

Untuk mengelakkan serangan LFI, kami mesti menapis nama fail dan laluan yang disediakan oleh pengguna. Menggunakan laluan mutlak ialah cara yang baik untuk mencegah serangan LFI.

Berikut ialah contoh penapisan yang mungkin, menggunakan pendekatan senarai putih termasuk nama fail dan laluan yang dibenarkan untuk disertakan:

<?php
$allowed_files = array("file1.php", "file2.php");
$allowed_paths = array("/path1/", "/path2/");

$file = $_GET['file'];
$path = $_GET['path'];

if (!in_array($file, $allowed_files) || !in_array($path, $allowed_paths)) {
    die("Access Denied");
}

include("/home/user/" . $path . $file);
?>

Menggunakan pendekatan senarai putih boleh mengurangkan risiko serangan LFI. Jika anda tidak mahu menggunakan kaedah senarai putih, anda juga boleh menggunakan kaedah mengehadkan jenis fail:

<?php
$file = $_GET['file'];

// 判断$file是否是php文件
if (!preg_match("/.php$/", $file)) {
    die("Access Denied");
}

include("/home/user/" . $file);
?>

Mengehadkan jenis fail boleh menghalang jenis fail lain daripada disertakan.

3. Cegah serangan RFI

Untuk mengelakkan serangan RFI, kita mesti menapis URL yang disediakan oleh pengguna. Apabila menggunakan senarai putih, akses hanya boleh dibenarkan kepada pelayan jauh yang anda tentukan. Contohnya, anda boleh menetapkan pilihan allow_url_fopen dalam fail php.ini atau gunakan fungsi curl.

Berikut ialah contoh mencegah serangan RFI:

<?php
$url = $_GET['url'];

// 验证是否是信任的主机
if (!preg_match("/^http://(192.168.0.16|www.example.com)/", $url)) {
    die("Access Denied");
}

$content = file_get_contents($url);
echo $content;
?>

Dalam contoh ini, kami mengehadkan proses pengesahan kepada hos tertentu.

4. Langkah keselamatan lain apabila menggunakan PHP

Lumpuhkan fungsi berbahaya

Sesetengah fungsi boleh mengakses fail sistem, seperti eval(), exec(), dsb., supaya ia mudah tercemar atau disalahgunakan. Untuk keselamatan yang dipertingkatkan, fungsi ini harus dilumpuhkan.

Versi PHP

Dalam versi PHP yang lebih lama, terdapat lebih banyak risiko kerentanan kemasukan fail. Oleh itu, memastikan versi PHP anda dikemas kini adalah salah satu cara untuk mengurangkan kelemahan dan meningkatkan keselamatan.

Kawalan Kebenaran

Untuk memastikan fail hanya tersedia kepada skrip atau pengguna yang bertujuan untuk melaksanakannya, kawalan kebenaran yang sesuai (seperti pemilikan fail dan hak akses) hendaklah digunakan.

Jadi, apabila menulis aplikasi web menggunakan PHP, keselamatan mesti diutamakan. Mengambil langkah keselamatan yang sesuai, seperti menggunakan kaedah senarai putih, mengehadkan jenis fail, melumpuhkan fungsi berbahaya, mengemas kini versi PHP dan menggunakan kawalan kebenaran, boleh mengurangkan risiko serangan kemasukan fail dengan berkesan.

Atas ialah kandungan terperinci Bagaimana untuk mengelakkan serangan kemasukan fail menggunakan PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan

Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

Artikel Berkaitan

PHP: Pengenalan kepada bahasa skrip sisi pelayanApr 16, 2025 am 12:18 AM

PHP adalah bahasa skrip sisi pelayan yang digunakan untuk pembangunan web dinamik dan aplikasi sisi pelayan. 1.Php adalah bahasa yang ditafsirkan yang tidak memerlukan kompilasi dan sesuai untuk perkembangan pesat. 2. Kod PHP tertanam dalam HTML, menjadikannya mudah untuk membangunkan laman web. 3. PHP memproses logik sisi pelayan, menghasilkan output HTML, dan menyokong interaksi pengguna dan pemprosesan data. 4. PHP boleh berinteraksi dengan pangkalan data, penyerahan borang proses, dan melaksanakan tugas-tugas sampingan pelayan.

PHP dan Web: Meneroka kesan jangka panjangnyaApr 16, 2025 am 12:17 AM

PHP telah membentuk rangkaian sejak beberapa dekad yang lalu dan akan terus memainkan peranan penting dalam pembangunan web. 1) PHP berasal pada tahun 1994 dan telah menjadi pilihan pertama bagi pemaju kerana kemudahan penggunaannya dan integrasi lancar dengan MySQL. 2) Fungsi terasnya termasuk menghasilkan kandungan dinamik dan mengintegrasikan dengan pangkalan data, yang membolehkan laman web dikemas kini secara real time dan dipaparkan secara peribadi. 3) Aplikasi dan ekosistem PHP yang luas telah mendorong kesan jangka panjangnya, tetapi ia juga menghadapi kemas kini versi dan cabaran keselamatan. 4) Penambahbaikan prestasi dalam beberapa tahun kebelakangan ini, seperti pembebasan Php7, membolehkannya bersaing dengan bahasa moden. 5) Pada masa akan datang, PHP perlu menangani cabaran baru seperti kontena dan microservices, tetapi fleksibiliti dan komuniti aktif menjadikannya boleh disesuaikan.

Mengapa menggunakan PHP? Kelebihan dan faedah dijelaskanApr 16, 2025 am 12:16 AM

Manfaat utama PHP termasuk kemudahan pembelajaran, sokongan pembangunan web yang kukuh, perpustakaan dan kerangka yang kaya, prestasi tinggi dan skalabilitas, keserasian silang platform, dan keberkesanan kos. 1) mudah dipelajari dan digunakan, sesuai untuk pemula; 2) integrasi yang baik dengan pelayan web dan menyokong pelbagai pangkalan data; 3) mempunyai rangka kerja yang kuat seperti Laravel; 4) Prestasi tinggi dapat dicapai melalui pengoptimuman; 5) menyokong pelbagai sistem operasi; 6) Sumber terbuka untuk mengurangkan kos pembangunan.

Debunking the Myths: Adakah PHP benar -benar bahasa yang mati?Apr 16, 2025 am 12:15 AM

PHP tidak mati. 1) Komuniti PHP secara aktif menyelesaikan masalah prestasi dan keselamatan, dan Php7.x meningkatkan prestasi. 2) PHP sesuai untuk pembangunan web moden dan digunakan secara meluas di laman web besar. 3) PHP mudah dipelajari dan pelayan berfungsi dengan baik, tetapi sistem jenis tidak begitu ketat sebagai bahasa statik. 4) PHP masih penting dalam bidang pengurusan kandungan dan e-dagang, dan ekosistem terus berkembang. 5) Mengoptimumkan prestasi melalui OPCACHE dan APC, dan gunakan corak OOP dan reka bentuk untuk meningkatkan kualiti kod.

Perbahasan PHP vs Python: Mana yang lebih baik?Apr 16, 2025 am 12:03 AM

PHP dan Python mempunyai kelebihan dan kekurangan mereka sendiri, dan pilihannya bergantung kepada keperluan projek. 1) PHP sesuai untuk pembangunan web, mudah dipelajari, sumber komuniti yang kaya, tetapi sintaks tidak cukup moden, dan prestasi dan keselamatan perlu diberi perhatian. 2) Python sesuai untuk sains data dan pembelajaran mesin, dengan sintaks ringkas dan mudah dipelajari, tetapi terdapat kesesakan dalam kelajuan pelaksanaan dan pengurusan memori.

Tujuan PHP: Membina Laman Web DinamikApr 15, 2025 am 12:18 AM

PHP digunakan untuk membina laman web dinamik, dan fungsi terasnya termasuk: 1. Menjana kandungan dinamik dan menghasilkan laman web secara real time dengan menyambung dengan pangkalan data; 2. Proses Interaksi Pengguna dan Penyerahan Bentuk, Sahkan Input dan Menanggapi Operasi; 3. Menguruskan sesi dan pengesahan pengguna untuk memberikan pengalaman yang diperibadikan; 4. Mengoptimumkan prestasi dan ikuti amalan terbaik untuk meningkatkan kecekapan dan keselamatan laman web.

PHP: Pengendalian pangkalan data dan logik sisi pelayanApr 15, 2025 am 12:15 AM

PHP menggunakan sambungan MySQLI dan PDO untuk berinteraksi dalam operasi pangkalan data dan pemprosesan logik sisi pelayan, dan memproses logik sisi pelayan melalui fungsi seperti pengurusan sesi. 1) Gunakan MySQLI atau PDO untuk menyambung ke pangkalan data dan laksanakan pertanyaan SQL. 2) Mengendalikan permintaan HTTP dan status pengguna melalui pengurusan sesi dan fungsi lain. 3) Gunakan urus niaga untuk memastikan atomik operasi pangkalan data. 4) Mencegah suntikan SQL, gunakan pengendalian pengecualian dan sambungan penutup untuk debugging. 5) Mengoptimumkan prestasi melalui pengindeksan dan cache, tulis kod yang sangat mudah dibaca dan lakukan pengendalian ralat.

Bagaimana anda menghalang suntikan SQL di PHP? (Penyataan yang disediakan, PDO)Apr 15, 2025 am 12:15 AM

Menggunakan penyataan preprocessing dan PDO dalam PHP secara berkesan dapat mencegah serangan suntikan SQL. 1) Gunakan PDO untuk menyambung ke pangkalan data dan tetapkan mod ralat. 2) Buat kenyataan pra -proses melalui kaedah menyediakan dan lulus data menggunakan ruang letak dan laksanakan kaedah. 3) Hasil pertanyaan proses dan pastikan keselamatan dan prestasi kod.

See all articles