PHP安全-後門URL

後門URL

  後門URL是指雖然無需直接呼叫的資源能直接透過URL存取。例如，以下WEB應用程式可能會顯示敏感資訊給登錄用戶：

 

<?php
 
  $authenticated = FALSE;
  $authenticated = check_auth();
 
  /* ... */
 
  if ($authenticated)
  {
      include &#39;./sensitive.php&#39;;
  }
 
  ?>

由於sensitive.php位於網站主目錄下，因此使用瀏覽器能跳過驗證機制直接存取到該檔案。這是由於在網站主目錄下的所有檔案都有一個對應的URL位址。在某些情況下，這些腳本可能執行一個重要的操作，這就增加了風險。

  為了防止後門URL，你需要確認把所有包含檔案保存在網站主目錄以外。所有保存在網站主目錄下的文件都是必須透過URL直接存取的。

以上是PHP安全-後門URL的內容，更多相關內容請關注PHP中文網（www.php.cn）！