首页 / PHP / php – 动态包括安全性
php – 动态包括安全性
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了php – 动态包括安全性,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1009字,纯文字阅读大概需要2分钟。
内容图文
有没有办法安全地包含页面而不将它们全部放在一个数组中?
if (preg_match('/^[a-z0-9]+/', $_GET['page'])) { $page = $_GET['page'].".php"; $tpl = $_GET['page'].".html"; if (file_exists($page)) include($page); if (file_exists($tpl)) include($tpl); }
我应该添加什么才能使它非常安全?
我这样做是因为我不喜欢必须包含必须包含在所有页面中的内容. “包含标题>内容>包括页脚”-way.我也不想使用任何模板引擎/框架.
谢谢.
解决方法:
您当前实施的弱点是……
>正则表达式只是测试字符串的开头,所以“images /../../ secret”会传递,并且
>没有进一步验证,“index”也将是一个有效值,并会导致递归.
为了使您的实现安全,最好将所有要包含的内容放在其自己的目录中(例如“包含”和“模板”).基于此,您只需确保没有办法退出此目录.
if (preg_match('/^[a-z0-9]+$/', $_GET['page'])) {
$page = realpath('includes/'.$_GET['page'].'.php');
$tpl = realpath('templates/'.$_GET['page'].'.html');
if ($page && $tpl) {
include $page;
include $tpl;
} else {
// log error!
}
} else {
// log error!
}
注意:如果文件存在,realpath返回给定相对路径的绝对路径,否则返回false.所以file_exists不是必需的.
内容总结
以上是互联网集市为您收集整理的php – 动态包括安全性全部内容,希望文章能够帮你解决php – 动态包括安全性所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。