我最近有一个WordPress网站,其中包含保存为PNG文件的恶意软件代码,但是通过@include_once('images/sidebar2.png');拉入我的模板文件,然后将其解释为PHP。
我一直在尝试(未成功)找出一种方法来阻止这种活动。我可以在一个文件夹中阻止PHP执行,但这对这种情况没有帮助。我也可以强制MIME类型,但也不会这样做。
可以仅将PHP包含限制为.php个文件吗?还有其他想法吗?
答案 0 :(得分:2)
从臀部开始:用include_once和
include_once_secure引用
function include_once_secure($fileName) {
if (strtolower(pathinfo($fileName, PATHINFO_EXTENSION))=='php') {
include_once($fileName);
} else {
//here you could throw an error or exception
}
}