php函数伪静态、MVC单一入口与文件下传安全漏洞 -php教程-PHP中文網

首頁

後端開發

php教程

php函数伪静态、MVC单一入口与文件下传安全漏洞

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 13, 2016 pm 01:07 PM

applicationhttpdpathpathinfophp

php函数伪静态、MVC单一入口与文件上传安全漏洞

php的函数伪静态也是这样做出来的。
以下是函数伪静态所用的函数：

function MakeUrl($arr){ 
         foreach($arr as $key=>$value){ 
                 $url[]=$key."_".$value; 
         } 
         $tmpurl=implode("_",$url); 
         return $tmpurl.".htm"; 
} 

function ParseUrl(){ 
    if($_SERVER['PATH_INFO']!=""){ 
         $pathinfo=substr($_SERVER['PATH_INFO'],1); 
         $pathinfo=str_replace(".htm","",$pathinfo); 
         $path=explode("_",$pathinfo); 
         $count=count($path); 
         for($i=0;$i2,'page'=>1)); 
以上两行代码生成页面中的URL。
//浏览页面,调用函数ParseUrl();直接可以使用变量$_GET

当然，很多MVC框架中，均支持这样的功能，但在MVC框架中，并不一定是用上面两个函数实现的了。
其实，它不仅是伪静态所需。同时也是MVC所必须要的功能。这是因为，MVC中的所谓的单一入口，也是凭此功能实现的。
我们可以见到很多网站，链接象? http://www.tiaotiaola.com/s/2/3/4/5.html
实际是经过.htaccess,或者是UrlRewrite处理过的。未处理之前是：http://www.tiaotiaola.com/s.php/2/3/4/5.html
s.php一定是MVC的入口文件。
这就是说，s.php/2/3/4/5.html这样的文件，均会当成PHP文件被执行。

关于文件上传漏洞问题。本文首发时，讲到的 some.php.png 会被当成PHP执行，实际是因某一类设置错误造成的。

而对于 some.php%3Fpng，即便存在这样的文件，相对于APACHE服务器的安全性，此文件也是禁止访问的。

当然：some.png.php肯定是不能上传到服务器上的。

但这也并不是说，上传就是完全安全。仍然存在通过上传文件名实现的URL的嵌入攻击。解决?URL的嵌入攻击的办法则是：
对所有的上传文件均进行改名。即不保存原始文件名。如果要保存，则必须去掉文件名中的"."以及其它可能有攻击性的语法。
我们推荐的做法是不保存原始文件名，即对原始文件名用md5或sha进行hash，如果要区分上传时间，可以加上时间戳，即生成的是纯a-z0-9文字的文件名。最后加上原始扩展名即可。
另一个方面：假如黑客能够攻击到操纵你的SHELL，那么，some.php.png则是可以被执行的。从这一点来说，关键不是在上传这一边控制，而是如何禁止服务器的远程脚本运行的安全配置问题了。

――――――――――――――――――――――――――――――――――――――――

后记：感谢1 楼 aweber?指出文中的错误。此文发布时，有些问题，未经完全测试确认。?

1 楼 aweber 2011-06-08

"php中有一个让人不解的特性，那就是，如果文件名中有".php"，则会自动调用PHP引擎，当成PHP脚本处理。"
这句话是错误的。用什么样的程序来处理什么样后缀名的请求，是根据web服务器（apahce，nginx）设置的。
举个例子 apache 可以使用action命令来设置
actioin application/x-httpd-php "/php/php-cgi.exe" 这条命令是表明当请求application/x-httpd-php媒体类型的请求时，使用/php/php-cgi.exe来处理这个请求
同时，可以使用addType来建立后缀名和媒体类型的映射关系
addType application/x-httpd-php .php 这样，当请求是以.php为后缀名，则认为是application/x-httpd-php类题类型的，
这样，如果你愿意，也可以设置成
addType application/x-httpd-php .example，那么当你请求xxx.example的时候，这个文件也会被当成php文件来解析

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

高流量網站的PHP性能調整May 14, 2025 am 12:13 AM

TheSecretTokeEpingAphp-PowerEdwebSiterUnningSmoothlyShyunderHeavyLoadInVolvOLVOLVOLDEVERSALKEYSTRATICES：1）emplactopCodeCachingWithOpcachingWithOpCacheToreCescriptexecution Time，2）使用atabasequercachingCachingCachingWithRedataBasEndataBaseLeSendataBaseLoad，3）

PHP中的依賴注入：初學者的代碼示例May 14, 2025 am 12:08 AM

你應該關心DependencyInjection(DI)，因為它能讓你的代碼更清晰、更易維護。 1)DI通過解耦類，使其更模塊化，2)提高了測試的便捷性和代碼的靈活性，3)使用DI容器可以管理複雜的依賴關係，但要注意性能影響和循環依賴問題，4)最佳實踐是依賴於抽象接口，實現鬆散耦合。

PHP性能：是否可以優化應用程序？May 14, 2025 am 12:04 AM

是的，優化papplicationispossibleandessential.1）empartcachingingcachingusedapcutorediucedsatabaseload.2）優化的atabaseswithexing，高效Quereteries，and ConconnectionPooling.3）EnhanceCodeWithBuilt-unctions，避免使用，避免使用ingglobalalairaiables，並避免使用

PHP性能優化：最終指南May 14, 2025 am 12:02 AM

theKeyStrategiestosigantificallyBoostPhpaPplicationPerformenCeare：1）UseOpCodeCachingLikeLikeLikeLikeLikeCacheToreDuceExecutiontime，2）優化AtabaseInteractionswithPreparedStateTementStatementStatementAndProperIndexing，3）配置

PHP依賴注入容器：快速啟動May 13, 2025 am 12:11 AM

aphpdepentioncontiveContainerIsatoolThatManagesClassDeptions，增強codemodocultion，可驗證性和Maintainability.itactsasaceCentralHubForeatingingIndections，因此reducingTightCightTightCoupOulplingIndeSingantInting。

PHP中的依賴注入與服務定位器May 13, 2025 am 12:10 AM

選擇DependencyInjection(DI)用於大型應用，ServiceLocator適合小型項目或原型。 1)DI通過構造函數注入依賴，提高代碼的測試性和模塊化。 2)ServiceLocator通過中心註冊獲取服務，方便但可能導致代碼耦合度增加。

PHP性能優化策略。May 13, 2025 am 12:06 AM

phpapplicationscanbeoptimizedForsPeedAndeffificeby：1）啟用cacheInphp.ini，2）使用preparedStatatementSwithPdoforDatabasequesies，3）3）替換loopswitharray_filtaray_filteraray_maparray_mapfordataprocrocessing，4）conformentnginxasaseproxy，5）