如何安全的Include文件
浏览:1681次 出处信息
似乎多数人都觉得Include文件是一件非常简单的事情,可惜漏洞往往出现在我们忽视的地方。正所谓千里之堤溃于蚁穴,二战期间,法国人寄希望与马奇诺防线,却忽视了原本认为非常安全的阿登高地,让德国人有机可乘,最终的结果大家都知道了。
下面这个例子虽然是我杜撰的,但是我确信现实情况里一定存在类似的问题:
<?php $debug = false; // ... $config = include 'config.php'; // ... if ($debug) { phpinfo(); } ?>
码农在代码中埋了一个调试开关,缺省是关闭状态,必要的时候可以开启,以便显示一些特殊的信息,同时代码里包含了一个配置文件,它的内容大致如下所示:
<?php return array( 'foo' => '...', 'bar' => '...', ); ?>
突然有一天,码农因为一些其它的缘由修改了配置文件,引入了一些临时变量:
<?php $debug = true; $config = array( 'foo' => '...', 'bar' => '...', ); /* if ($debug) { var_dump($config); } */ return $config; ?>
结果问题产生了!配置文件里的临时变量(debug)污染了其它脚本的变量空间,进而导致代码执行的结果不再符合预期,最终问题也就在所难免了。
如何安全的Include文件?很简单,在Include的时候注意限制变量的作用域即可:
<?php $config = call_user_func(function() { return include 'config.php'; }); ?>
类似的做法在Javascript中很常见,但在PHP中却鲜有人注意,你的代码有问题么?
建议继续学习:
- include(“./file.php”)和include(“file.php”)区别 (阅读:11907)
- php两种include加载文件方式效率比较 (阅读:2788)
- require(),include(),require_once()和include_once()的异同 (阅读:2532)
- 再谈php的include和include_once(include和require_once) (阅读:2405)
- 从php核心代码看require和include的区别 (阅读:2142)
- 深入理解PHP之require/include顺序 (阅读:1978)
QQ技术交流群:445447336,欢迎加入!
扫一扫订阅我的微信号:IT技术博客大学习
扫一扫订阅我的微信号:IT技术博客大学习
<< 前一篇:流量劫持 —— 浮层登录框的隐患
后一篇:云存储中的HTTP鉴权算法分析 >>
文章信息
- 作者:老王 来源: 火丁笔记
- 标签: Include
- 发布时间:2014-11-28 12:47:39
建议继续学习
近3天十大热文
- [71] Twitter/微博客的学习摘要
- [65] IOS安全–浅谈关于IOS加固的几种方法
- [65] find命令的一点注意事项
- [63] android 开发入门
- [62] Go Reflect 性能
- [62] 如何拿下简短的域名
- [61] Oracle MTS模式下 进程地址与会话信
- [60] 流程管理与用户研究
- [57] 【社会化设计】自我(self)部分――欢迎区
- [57] 图书馆的世界纪录