利用PHP协议包含
我们都知道FTP http file协议。那么同理。
http 超文本传输协议
File 协议本地文件传输协议
那么php协议就是输入/输出流
比如:
$file_in = file_get_contents(“php://input”);
开启PHP协议必须要
allow_url_include && allow_url_fopen 为On 才可以
smb协议包含
之前说
FTP http file协议包含都可以
SMB也不例外。
利用data协议包含
data:text/plain,<?php echo phpinfo();?>
PHP输入输出流
php://filter/convert.base64-encode/resource=./demo2.php
预防
1.过滤/。
2.白名单过滤
3.不让客户端控制文件包含的地址