PHP 行事准则:allow_url_fopen 与 allow_url_include

已于 2023-10-08 09:52:38 修改
阅读量2k 收藏 7
点赞数 8
分类专栏: 后端 安全 文章标签: php PHP 配置文件 安全 远程文件 区别与联系
于 2023-10-06 16:04:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44879989/article/details/133514065
版权

文章目录

参考

项目描述
搜索引擎BingGoogle
AI 大模型文心一言通义千问讯飞星火认知大模型ChatGPT
PHP 官方filesystem.configuration.php
PHP 官方PHP Manual

环境

项目描述
PHP5.5.05.6.87.0.07.2.57.4.98.0.08.2.9
PHP 编辑器PhpStorm 2023.1.1(专业版)

allow_url_fopen

allow_url_fopen 配置项

allow_url_fopen 是 PHP 中的一个配置选项,它决定了 PHP 是否能够通过 URL (而非本地文件路径) 来打开文件。这个配置选项的值会影响到一些 PHP 中与文件操作相关的函数的行为,例如 fopen()file_get_contents() 。具体来说,当 allow_url_fopen 被设置为 On(开启)时,这些函数可以用来 读取写入 远程文件。而当该配置项被设置为 Off(关闭)时,这些函数 只能用于操作本地文件

操作远程文件

allow_url_fopen 选项被设置为 On 时(目前,allow_url_fopen 选项在每一个 PHP 版本中都是 默认开启 的),PHP 能够访问和处理远程文件。例如,你可以使用 file_get_contents() 函数来读取一个远程网站的 HTML 内容。对此,请参考如下示例:

<?php


# 通过 file_get_contents() 函数获取
# 百度页面的 HTML 内容。
$content = file_get_contents('http://www.baidu.com');
var_dump($content);

执行效果

上述示例的部分输出内容如下:

string(9508) "<!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"><meta content="always" name="referrer"><meta name="description" content="全球领先的中文搜索引擎、致力于让网民更便捷地获取信息,找到所求。百度超过千亿的中文网页数据库,可以瞬间找到相关的搜索结果。"><link rel="shortcut icon" href="//www.baidu.com/favicon.ico" type="image/x-icon"><link rel="search" type="application/opensearchdescription+xml" href="//www.baidu.com/content-search.xml" title="百度搜索">
<title>百度一下,你就知道</title><style ...

file 协议

在 PHP 中,file 协议的使用不受 allow_url_fopen 配置项的控制。对此,请参考如下示例:

<?php


# 通过 allow_url_fopen 函数获取
# allow_url_fopen 配置项的值。
var_dump(ini_get('allow_url_fopen'));

# 尝试使用 file_get_contents 获取当前主机路径
# C:\Users\Public\Documents\index.php 中的内容
var_dump(file_get_contents('file:///C:\Users\Public\Documents\index.php'));

执行效果

由于 allow_url_fopen 配置项在 PHP 中默认是开启的,故在执行上述示例前请将 allow_url_fopen 配置关闭(可通过修改 PHP 配置文件 php.ini 实现)。
由于 allow_url_fopen 配置已被关闭,故首个 var_dump 语句的输出为 string(0) ""。在 allow_url_fopen 配置被关闭的状况下,file_get_contents 等函数仍能通过 file 协议对本机文件进行操作。

string(0) ""
string(35) "<?php


var_dump('Hello World');"

allow_url_include

allow_url_include 配置项

allow_url_include 是 PHP 的一个配置指令,与 allow_url_fopen 类似,但 allow_url_include 配置专门针对 PHP 的 includeinclude_oncerequirerequire_once 语句。当 allow_url_include 被设置为 On 时,PHP 允许通过 URL 的形式,从远程服务器 包含和执行 PHP 文件。对此,请参考如下示例:

http://192.168.1.8/target

首先,我在 IP 地址为 192.168.1.8 的服务器中准备了文件 target,在当前主机中通过浏览器访问该页面的效果如下:

在这里插入图片描述

开启 allow_url_include 选项

由于在 PHP8.0.0 版本中,allow_url_include 选项默认是关闭的,故需要通过修改配置文件来开启该选项。将 php.ini 配置文件中的:

allow_url_include = Off

修改为如下内容并对其进行保存。

allow_url_include = On

执行如下示例代码

<?php


include('http://192.168.1.8/target');

执行效果

由于 allow_url_include 配置项在 PHP7.4.0 版本被废弃,故在开启并使用到 allow_url_include 时,PHP 将输出提示信息 PHP Deprecated: Directive 'allow_url_include' is deprecated in Unknown on line 0
在执行上述示例代码后,target 文件中的内容被 包含至当前文件且被作为 PHP 代码进行执行

PHP Deprecated:  Directive 'allow_url_include' is deprecated in Unknown on line 0
string(11) "Hello World"

若在执行上述示例代码前,未将 allow_url_include 配置项开启,则执行结果将为如下内容:

PHP Warning:  include(): http:// wrapper is disabled in the server configuration by allow_url_include=0 in C:\index.php on line 4
PHP Warning:  include(http://192.168.1.8/target): Failed to open stream: no suitable wrapper could be found in C:\index.php on line 4
PHP Warning:  include(): Failed opening 'http://192.168.1.8/target' for inclusion (include_path='.;C:\php\pear') in C:\index.php on line 4

allow_url_include 与 allow_url_fopen

区别

在开启 allow_url_fopen 配置项后,PHP 仅能够对远程文件进行读写等文件操作
在开启 allow_url_include 配置项后,PHP 将能够通过 include 等函数 将远程文件包含至当前文件并将其作为 PHP 代码进行执行

举个栗子

<?php


$target_url = 'http://192.168.1.8/target';

var_dump(file_get_contents($target_url));
include($target_url);

执行效果

在执行上述示例代码前,请将 allow_url_fopenallow_url_include 配置项开启。
由于被 allow_url_fopen 配置项影响的 file_get_contents() 函数仅能够对远程文件执行读写等文件操作,故 http://192.168.1.8/target 中的代码仅被执行了一次。

PHP Deprecated:  Directive 'allow_url_include' is deprecated in Unknown on line 0
string(33) "<?php


var_dump('Hello World');
"
string(11) "Hello World"

联系

allow_url_include 的生效依赖于 allow_url_fopen 配置项的开启。具体而言,当 allow_url_includeallow_url_fopen 两个配置项均被开启时,allow_url_include 才能够发挥作用。若仅有 allow_url_include 配置项被开启,则无法发挥 allow_url_include 配置项所起到的功能。

默认配置

PHP5.2 版本开始,allow_url_include 配置项的默认配置均为 Off,而 allow_url_fopen 配置项的默认配置始终为 On
在 PHP 的实际应用中,推荐将 allow_url_includeallow_url_fopen 配置项进行关闭,这两个配置项通常用于从远程服务器 获取和执行文件,但在某些情况下,它们可能会被恶意利用,导致安全漏洞和风险。

配置项关闭所导致异常

allow_url_includeallow_url_include 配置项的关闭导致 file_get_contentsinlcude 等函数无法访问远程文件而引发的问题都将使 PHP 引发 Warning 异常。Warning 异常的产生并不会导致 PHP 程序的立即终止。

运行时配置

ini_set()

除了 php.ini 文件之外,PHP 还允许 在脚本运行过程中通过 ini_set() 函数来动态修改某些配置选项的值,这些更改只在 当前脚本运行时生效,并不会影响全局配置。这为开发者提供了在单个脚本或应用的执行过程中调整配置的灵活性。

限制

在 PHP 中,不同配置项所能够采取的配置方法可能是不同的,并不是所有的选项都可以在运行时通过 ini_set() 函数来修改。ini_set() 函数允许你在脚本运行时动态地设置配置选项,但有些选项可能由于 安全或系统级别的限制 而不能通过 ini_set() 来修改。allow_url_includeallow_url_fopen 就是这样的配置项。

如果您需要查看某个配置项所 允许的配置方式,请访问由 PHP 官方提供的 ini.list.php 页面。

BinaryMoon
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
PHP使用fopen与file_get_contents读取文件实例分享
10-22
主要介绍了PHP使用fopen与file_get_contents读取文件实例分享的相关资料,需要的朋友可以参考下
php中file_get_content 和curl以及fopen 效率分析
10-25
关于file_get_content 和curl以及fopen 的效率问题,小编比较倾向于使用curl来访问远程urlPhp有curl模块扩展,功能很是强大。没事可以研究一下。
PHP 行事准则allow_url_fopenallow_url_include_allow_url_fopen为on
最新发布
mm627mm的博客
04-18 1044
allow_url_include` 是 PHP 的一个配置指令,与 `allow_url_fopen` 类似,但 `allow_url_include` 配置专门针对 PHP 的 `include`、`include_once`、 `require` 及 `require_once` 语句。具体而言,当 `allow_url_include` 与 `allow_url_fopen` 两个配置项均被开启时,`allow_url_include` 才能够发挥作用。
php allow_url_include的应用和解释
10-29
PHP常常因为它可能允许URLS被导入和执行语句被人们指责。事实上,这件事情并不是很让人感到惊奇,因为这是导致称为Remote URL Include vulnerabilities的php应用程序漏洞的最重要的原因之一。
file_cp.rar_linux fopen
09-24
使用fopen文件访问库函数编写的应用程序,该应用程序实现文件的复制功能
关于allow_url_fopen的设置与服务器的安全
乡村的博客
02-07 1578
allow_url_fopen安全以及PHP libcurl   allow_url_fopen=ON常常会给服务器和管理员带来麻烦,但是经常性(至少我这样认为)的我们需要远程读取某个东西,如果设置allow_url_fopen=OFF将其关闭,我们就没有办法远程读取。   幸好我们有一个很好的PHP模块--curl。下面我就以一个例子说说我用curl远程读取的方法:   第一,allow_url_fopen=ON的情况下: <?php $str = file_get_contents("http:
php://input allow_url_include,HTML_PHP教程:allow_url_includePHP常常因为它可能允许URLS被导 - phpStudy...
weixin_31029019的博客
03-09 225
PHP常常因为它可能允许URLS被导入和执行语句被人们指责。事实上,这件事情并不是很让人感到惊奇,因为这是导致称为Remote URL Include vulnerabilities的php应用程序漏洞的最重要的原因之一。因为这个原因,许多安全研究人员建议在php.ini配置中禁用指向allow_url_fopen。不幸的是,许多推荐这种方法的人,并没有意识到,这样会破坏很多的应用并且并不能保证1...
allow_url_includeallow_url_fopen 详解
qq_29566629的博客
08-04 8227
今天学习文件包含漏洞的时候,在php.ini配置文件就会接触到allow_url_includeallow_url_fopen这两个设置,非常有必要了解一下。 allow_url_fopen = On 是否允许将URL(如http://或ftp://)作为文件处理。 allow_url_include = Off 是否允许include/require打开URL(如http://或ftp://)作为文件处理。 注意: 从PHP5.2开始allow_url_include就默认为Off了,而allow_ur
文件包含漏洞—allow_url_fopenallow_url_include详解
weixin_44431280的博客
02-21 7511
文件包含漏洞_allow_url_fopenallow_url_include详解 提要:在文件包含漏洞中,PHP脚本环境中php.ini文件中通常会涉及到这两个参数,两个参数的开启或关闭影响文件包含漏洞的利用。 1,参数简介: allow_url_fopen参数(只影响RFI,不影响LFI) 简介:是否允许将URL(HTTP,HTTPS等)作为文件打开处理 allow_url_include参数(只影响RFI,不影响LFI) 简介:是否允许includeI()和require()函数包含URL(HTTP
php.ini中allow_url_fopenallow_url_include的设置
weixin_30906701的博客
11-02 933
all_url_includephp 5.2以后添加,安全方便的设置(php的默认设置)为:allow_url_fopen=on;all_url_include=off;allow_url_fopen = On (允许打开URL文件,预设启用)allow_url_fopen = Off (禁止打开URL文件)allow_url_incl...
php文件包含漏洞(allow_url_include=Off)的绕过方法
weixin_30323961的博客
05-31 2860
分享几个当allow_url_include = Off时的文件包含漏洞的绕过方法。 假设服务端的php代码(aaa.php)如下图所示: 第1种:smb协议 Payload:http://127.0.0.1/aaa.php?path=\\43.5*.**.74\ica\abc1238.htm 这种方法只适用于Windows类型的网站服务器,不能用于Linux服务器。 首先在...
初次使用Phpstudy和配置DVWA_master
deja_vuDM的博客
06-09 1139
在win10虚拟机中安装PHPstudy后,打开phpstudy启动nginx服务与mysql服务,新建一个站点端口使用任意非80端口,这里使用7777,将域名设为localhost,根目录配置为DVMA所在目录,虚拟机只有一个盘,所以在c盘下然后勾选环境,php版本选用的5.69版本,点击确定,网站创建成功后需重启服务,在DVMA目录下的config文件夹里,将config.inc.php.dist文件改为config.inc.php打开此配置文件,将连接数据库的用户名和密码改为root,修改完成后重启服
DVWA登录出现allow_url_fopen = On allow_url_include = On的错误
qq_45780190的博客
05-09 3845
进入到DVWA页面中: 点击下图中按钮 Creat / Reset Database 创建数据库: 出现如下错误提示: Could not connect to the MySQL service. Please check the config file. 1 2 意思是: 无法连接到MySQL服务。 请检查你的config文件。 问题解决 此时我们找到config文件下的config.inc.php文件打开进行操作,将$DVWA[‘db_password’ ] 改为和phpstudy_pro中数据
【web漏洞】文件读取
Mr_atopos的博客
06-17 1841
文件读取,笔记
allow_url_includeallow_url_fopen
BAM9090的博客
09-11 2456
allow_url_fopen没什么好说的,主要是allow_url_includePHP5.2开始allow_url_include就默认为Off了,而allow_url_fopen一直是On的,也没有什么人无聊的去打开allow_url_include吧 不过还是了解一下比较好 当allow_url_include为On且allow_url_fopen为...
safeurl php,关于phpallow_url_fopen和safe_mode函数
weixin_39955700的博客
03-11 189
安装dedecms时注意到系统需要两个函数,所以顺便看一下这两个函数的定义:allow_url_fopen就是允许fopen这样的函数打开url。这里有更官方的解释:http://php.com/manual/zh/filesystem.configuration.phpsafe_modephp安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),同时把很多文件...
DVWA-PHP function allow_url_include: Disabled(小皮面板)
m0_49025459的博客
04-16 3854
首先打开小皮面板 在管理中找到自己现在使用的php版本 在小皮面板的安装路径中找到自己的php版本位置 找到php.ini,用记事本打开 查找allow_url_include给它改成On
关于解决dvwa中的The PHP function allow_url_include is not enabled.问题
Cai1010110的博客
11-03 9204
我是在Windows系统中搭建的dvwa练习平台(dvwa+phpstudy),可在最近我练习FileInclusion的时候,却出现了问题。 于是,我便在网上搜到一些解决方案,有的是打开/php.ini,找到allow_url_include=Off 改为 allow_url_include=On,我便按照网上修改了。 但是,还是不成功,没有任何反应。于是,我便修改了phpstud...
allow_url_fopen = on allow_url_include = on
03-16
这是两个PHP配置选项,用于允许在PHP脚本中使用URL打开和包含文件。如果将它们设置为“on”,则可以在脚本中使用像“include 'http://example.com/file.php';”这样的语句。但是,这也会增加安全风险,因为它允许脚本从远程服务器获取代码并执行它。因此,建议仅在必要时启用这些选项,并确保只从可信任的源获取代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BinaryMoon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值