我有一些代码,其中包括一个文件,并将该值分配给一个变量。
$myVar = include($pathToFile);
if(is_array($myVar)){
...
}else{
//Nope
}
$pathToFile 的预期 内容
<?php
return [
'some_key' => 'some_value'
]
我担心的是$pathToFile是用户已上传的PHP文件的路径。我担心调用include($pathToFile)可能会运行一些我没想到的PHP代码,这给我带来了安全隐患。像这样:
<?php
exec("command to delete everything");
return [];
这是有效的安全问题吗?有没有一种方法可以安全地检查$pathToFile在运行时的实际行为,并确保它确实只是返回一个简单的PHP关联数组?