如何使用PHP防止檔案包含攻擊

隨著網路的快速發展，安全問題已成為一個不容忽視的重要議題。文件包含攻擊是一個非常常見且危險的攻擊方式，關鍵是攻擊者可以利用該漏洞來獲取伺服器上的敏感資訊。因此，如何使用PHP防止文件包含攻擊已經成為許多開發者必須要解決的問題。

一、了解檔案包含攻擊

檔案包含攻擊是常見的Web攻擊，並被列為OWASP（開放式網路應用安全專案）十大Web安全漏洞之一。它可以分為本機檔案包含（LFI）和遠端檔案包含（RFI）。

當使用不經過過濾的外部資料來產生檔案路徑時，很容易受到LFI的攻擊。例如，以下程式碼將使用者提交的檔案名稱與路徑名稱連接起來：

<?php
$file = '/home/user/'. $_GET['file'];
include($file);
?>

當使用者使用../等相對路徑提供資料時，就會出現LFI攻擊。

RFI攻擊則是指攻擊者可以在伺服器中執行自己的遠端程式碼。例如，以下程式碼將使用者提交的URL直接透過file_get_contents()函數包含：

<?php
$url = $_GET['url'];
$content = file_get_contents($url);
echo $content;
?>

#當攻擊者提供自己的惡意URL時，就會出現RFI攻擊。

二、防止LFI攻擊

為了防止LFI攻擊，我們必須對使用者提供的檔案名稱和路徑進行過濾。使用絕對路徑是防止LFI攻擊的好方法。

以下是可能的篩選範例，採用白名單方法包括允許包含的檔案名稱和路徑：

<?php
$allowed_files = array("file1.php", "file2.php");
$allowed_paths = array("/path1/", "/path2/");

$file = $_GET['file'];
$path = $_GET['path'];

if (!in_array($file, $allowed_files) || !in_array($path, $allowed_paths)) {
    die("Access Denied");
}

include("/home/user/" . $path . $file);
?>

使用白名單方法可以減少LFI攻擊的風險。如果您不想使用白名單方法，也可以使用限定檔案類型的方式：

<?php
$file = $_GET['file'];

// 判断$file是否是php文件
if (!preg_match("/.php$/", $file)) {
    die("Access Denied");
}

include("/home/user/" . $file);
?>

限製檔案類型可以防止其他檔案類型被包含。

三、防止RFI攻擊

為了防止RFI攻擊，我們必須對使用者提供的URL進行過濾。使用白名單時，只應允許存取您指定的遠端伺服器。例如，您可以在php.ini檔案中設定allow_url_fopen選項，或使用curl函數。

以下是防止RFI攻擊的範例：

<?php
$url = $_GET['url'];

// 验证是否是信任的主机
if (!preg_match("/^http://(192.168.0.16|www.example.com)/", $url)) {
    die("Access Denied");
}

$content = file_get_contents($url);
echo $content;
?>

在此範例中，我們將驗證程序限制為指定的主機。

四、使用PHP的其它安全措施

1. 停用危險函數

有些函數可以存取系統的文件，如eval()、exec( )等，因此它們很容易被污染或誤用。為了提高安全性，應停用這些函數。

2. PHP版本

在較舊的PHP版本中，檔案包含漏洞存在著較多的風險。因此，及時更新PHP版本是減少漏洞並提高安全性的一種方法。

3. 權限控制

要確保檔案僅對旨在執行它們的腳本或使用者可用，應使用適當的權限控制（例如檔案的所有權和存取權限） 。

因此，在使用PHP編寫Web應用程式時，安全性必須放在第一位。採取適當的安全措施，例如使用白名單方法、限製文件類型、停用危險函數、更新PHP版本以及使用權限控制，可以有效地降低文件包含攻擊的風險。

以上是如何使用PHP防止檔案包含攻擊的詳細內容。更多資訊請關注PHP中文網其他相關文章！