allow_url_fopen与安全以及PHP libcurl

最新推荐文章于 2024-06-20 09:52:37 发布
最新推荐文章于 2024-06-20 09:52:37 发布
阅读量5k 收藏
点赞数
分类专栏: PHP专栏 文章标签: url php 服务器 file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/141242/article/details/90191
版权

  allow_url_fopen=ON常常会给服务器和管理员带来麻烦,但是经常性(至少我这样认为)的我们需要远程读取某个东西,如果设置allow_url_fopen=OFF将其关闭,我们就没有办法远程读取。

  幸好我们有一个很好的PHP模块--curl。下面我就以一个例子说说我用curl远程读取的方法:

  第一,allow_url_fopen=ON的情况下:

<?php
  $str = file_get_contents("http://www.csdn.net/");
  if ($str !== false) {
    // do something with the content
    echo $str;
  }
?>
  第二,allow_url_fopen = Off的情况下:
<?php
  $ch = curl_init("http://www.csdn.net/");
  curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
  curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
  $str = curl_exec($ch);
  if ($str !== false) {
    // do something with the content
    echo $str;
  }
  curl_close($ch);
?>
  备注:关于allow_url_fopen=ON带来的危害请看如何对PHP程序中的常见漏洞进行攻击(下)
141242
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php allow_url_include的应用和解释
12-17
不幸的是,许多推荐这种方法的人,并没有意识到,这样会破坏很多的应用并且并不能保证100%的解决remote URL includes以及他带来的不安全性。 通常,用户要求在他们使用其他的文件系统函数的时候,php允许禁止URL...
文件包含
m0_64338211的博客
03-01 1052
1.本地文件包含 分别修改phpinfo.txt扩展名为:jpg、rar、xxx发现均可解析,只要文件内容符合PHP语法规范,任何扩展名都可以被PHP解析。 2.远程文件包含 文件包含漏洞可以分为LFl (Local File Inclusion本地文件包含)和RFI(Remote File Inclusion,远程文件包含)两种。而区分二者最简单的办法就是通过查看php.ini中是否开启了allow_url_include。如果开启就有可能包含远程文件。 远程文件包含需要php....
【web漏洞】文件读取
Mr_atopos的博客
06-17 1868
文件读取,笔记
PHP基础
最新发布
在所有的事情背后,要有一颗坚定的的本心,要有一颗应对变革和提升自我的本心,世界瞬息万变,本心要坚持到底,保持学习,时刻复盘
06-20 312
PHP基础
PHP 行事准则:allow_url_fopenallow_url_include
两个月亮
10-06 2516
在开启 allow_url_include 配置项后,PHP 仅能够对远程文件进行读写等文件操作。在开启 allow_url_fopen 配置项后,PHP 将能够通过 include 等函数 将远程文件包含至当前文件并将其作为 PHP 代码进行执行。allow_url_include 的生效依赖于 allow_url_fopen 配置项的开启。自 PHP5.2 版本开始,allow_url_include 配置项的默认配置均为 Off,而 allow_url_fopen 配置项的默认配置始终为 On。
文件包含漏洞
huangyongkang666的博客
03-21 2488
文件包含漏洞 1.什么是文件包含 ​ 程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需再次编写,这种调用文件的过程一般被称为文件包含。 2. 文件包含漏洞原理 ​ 文件包含是指当服务器开启allow_url_include选项时,就可以通过PHP的某些特性函数 (include(),require()和include_once(),requir_once()) 利用URL去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令
allow_url_include和allow_url_fopen 详解
qq_29566629的博客
08-04 8353
今天学习文件包含漏洞的时候,在php.ini配置文件就会接触到allow_url_include和allow_url_fopen这两个设置,非常有必要了解一下。 allow_url_fopen = On 是否允许将URL(如http://或ftp://)作为文件处理。 allow_url_include = Off 是否允许include/require打开URL(如http://或ftp://)作为文件处理。 注意: 从PHP5.2开始allow_url_include就默认为Off了,而allow_ur
phpfile_get_content 和curl以及fopen 效率分析
10-25
关于file_get_content 和curl以及fopen 的效率问题,小编比较倾向于使用curl来访问远程urlPhp有curl模块扩展,功能很是强大。没事可以研究一下。
PHP使用fopenfile_get_contents读取文件实例分享
10-22
主要介绍了PHP使用fopenfile_get_contents读取文件实例分享的相关资料,需要的朋友可以参考下
文件包含漏洞—allow_url_fopenallow_url_include详解
weixin_44431280的博客
02-21 7783
文件包含漏洞_allow_url_fopenallow_url_include详解 提要:在文件包含漏洞中,PHP脚本环境中php.ini文件中通常会涉及到这两个参数,两个参数的开启或关闭影响文件包含漏洞的利用。 1,参数简介: allow_url_fopen参数(只影响RFI,不影响LFI) 简介:是否允许将URL(HTTP,HTTPS等)作为文件打开处理 allow_url_include参数(只影响RFI,不影响LFI) 简介:是否允许includeI()和require()函数包含URL(HTTP
php://input allow_url_include,HTML_PHP教程:allow_url_include,PHP常常因为它可能允许URLS被导 - phpStudy...
weixin_31029019的博客
03-09 231
PHP常常因为它可能允许URLS被导入和执行语句被人们指责。事实上,这件事情并不是很让人感到惊奇,因为这是导致称为Remote URL Include vulnerabilities的php应用程序漏洞的最重要的原因之一。因为这个原因,许多安全研究人员建议在php.ini配置中禁用指向allow_url_fopen。不幸的是,许多推荐这种方法的人,并没有意识到,这样会破坏很多的应用并且并不能保证1...
PHP最佳实践:allow_url_fopenallow_url_include的用法
高性价比服务器就选:蓝易云
05-06 385
更糟的是,一旦外部脚本成功地融入你的代码,它甚至能以你服务器的身份进行操作,这无疑是一场安全性的噩梦。一切的关键在于控制,理解它们,尊重它们,并且聪明地运用它们。但是,既然这样强大,麻烦就来了,恶意用户可以利用此设置进行不良行为,比如在你的脚本中加载外部的恶意代码,结果你的服务器可能会丧失控制。因此,必须谨慎使用,并保证你从可信赖的源获取数据,或者有强大的错误处理和验证机制。,你可以重构代码,尽量不使用URL包含文件,尤其是在动态路径的情况下,为未知的输入加上严格的过滤和校验,避免不良文件的包含。
PHP 行事准则:allow_url_fopenallow_url_include_allow_url_fopen为on
mm627mm的博客
04-18 1130
allow_url_include` 是 PHP 的一个配置指令,与 `allow_url_fopen` 类似,但 `allow_url_include` 配置专门针对 PHP 的 `include`、`include_once`、 `require` 及 `require_once` 语句。具体而言,当 `allow_url_include` 与 `allow_url_fopen` 两个配置项均被开启时,`allow_url_include` 才能够发挥作用。
ctf镜子里面的世界_实战经验丨CTF中文件包含的技巧总结
weixin_39699746的博客
11-22 200
站在巨人的肩头才会看见更远的世界,这是一篇技术牛人对CTF比赛中文件包含的内容总结,主要是对一些包含点的原理和特征进行归纳分析,并结合实际的例子来讲解如何绕过,全面细致,通俗易懂,掌握这个新技能定会让你在CTF路上少走很多弯路,不看真的会后悔!php伪协议的分类伪协议是文件包含的基础,理解伪协议的原理才能更好的利用文件包含漏洞。php://inputphp://input代表可以访问请求的原始数据...
fopen打开ftp文件_PHP RFI allow_url_include 远程文件包含漏洞
weixin_39609887的博客
11-25 391
一、漏洞概述php默认配置中”allow_url_include”默认设置为关闭,使PHP无法加载远程http(s)或FTP url,防止文件包含攻击。即使” allow_url_include”和” allow_url_fopen”都Off也不会阻止SMB URL的加载。当有漏洞的PHP程序,试图从攻击者的SMB共享中加载文件时,如果SMB共享允许访问该文件。攻击者需要将SMB服务器...
关于allow_url_fopen的设置与服务器安全
乡村的博客
02-07 1599
allow_url_fopen安全以及PHP libcurl   allow_url_fopen=ON常常会给服务器和管理员带来麻烦,但是经常性(至少我这样认为)的我们需要远程读取某个东西,如果设置allow_url_fopen=OFF将其关闭,我们就没有办法远程读取。   幸好我们有一个很好的PHP模块--curl。下面我就以一个例子说说我用curl远程读取的方法:   第一,allow_url_fopen=ON的情况下: <?php $str = file_get_contents("http:
php.ini中allow_url_fopenallow_url_include的设置
weixin_30906701的博客
11-02 970
all_url_include在php 5.2以后添加,安全方便的设置(php的默认设置)为:allow_url_fopen=on;all_url_include=off;allow_url_fopen = On (允许打开URL文件,预设启用)allow_url_fopen = Off (禁止打开URL文件)allow_url_incl...
php文件包含漏洞(allow_url_include=Off)的绕过方法
weixin_30323961的博客
05-31 2869
分享几个当allow_url_include = Off时的文件包含漏洞的绕过方法。 假设服务端的php代码(aaa.php)如下图所示: 第1种:smb协议 Payload:http://127.0.0.1/aaa.php?path=\\43.5*.**.74\ica\abc1238.htm 这种方法只适用于Windows类型的网站服务器,不能用于Linux服务器。 首先在...
allow_url_fopen漏洞
05-24
如果 allow_url_fopen 被设置为 On,那么 PHP 会允许在脚本中访问远程文件,这可能会导致一些安全问题,如代码注入、文件包含等。 攻击者可以通过构造特定的 URL,来读取服务器上的敏感文件甚至执行任意代码。因此...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值