我想问一些关于allow_url_include
- ...
如果服务器在PHP配置中启用了allow_url_include
...服务器所有者是否可以轻松创建PHP脚本并执行以下操作:
include("http://example.com/configuration.php");
echo $mysql['username'];
那么他可以获得MySQL用户名的值吗?
如果可以,我可以在我的脚本上禁止这样做以防止黑客入侵吗?
谢谢!
答案 0 :(得分:1)
不,他会在你的网络浏览器中得到同样的东西。这将是一个巨大的安全问题。
请注意,如果您的网络服务器配置错误,可能会发生这种情况。
答案 1 :(得分:0)
他无法获取MySQL用户名的值。
他只能获取源代码和页面结果:
http://example.com/configuration.php