如何安全的Include文件

最新推荐文章于 2019-05-29 18:01:52 发布
最新推荐文章于 2019-05-29 18:01:52 发布
阅读量591 收藏
点赞数
分类专栏: php5.4 PHP
PHP 同时被 2 个专栏收录
184 篇文章 1 订阅
订阅专栏
php5.4
55 篇文章 0 订阅
订阅专栏

转载自:http://huoding.com/2014/02/25/329

似乎多数人都觉得Include文件是一件非常简单的事情,可惜漏洞往往出现在我们忽视的地方。正所谓千里之堤溃于蚁穴,二战期间,法国人寄希望与马奇诺防线,却忽视了原本认为非常安全的阿登高地,让德国人有机可乘,最终的结果大家都知道了。

下面这个例子虽然是我杜撰的,但是我确信现实情况里一定存在类似的问题:

<?php
$debug = false;
// ...
$config = include 'config.php';
// ...
if ($debug) {
    phpinfo();
}
?>
码农在代码中埋了一个调试开关,缺省是关闭状态,必要的时候可以开启,以便显示一些特殊的信息,同时代码里包含了一个配置文件,它的内容大致如下所示: 
<?php
return array(
    'foo' => '...',
    'bar' => '...',
);
?>
突然有一天,码农因为一些其它的缘由修改了配置文件,引入了一些临时变量: 
<?php
$debug = true;
$config = array(
    'foo' => '...',
    'bar' => '...',
);
/*
if ($debug) {
    var_dump($config);
}
*/
return $config;
?>
结果问题产生了!配置文件里的临时变量(debug)污染了其它脚本的变量空间,进而导致代码执行的结果不再符合预期,最终问题也就在所难免了。
如何安全的Include文件?很简单,在Include的时候注意限制变量的作用域即可: 

<?php
$config = call_user_func(function() {
    return include 'config.php';
});
?>
类似的做法在Javascript中很常见,但在PHP中却鲜有人注意,你的代码有问题么?
杜绝一切全局变量

ivan820819
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
include文件的利弊及其安全
南三方---网站设计开发录
12-18 414
你知道Include 可以包含文件自身吗?是的。你甚至可以包含几次。唯一的限制是:你不能让A包含B,而B又包含A。这样的循环包含是不允许的。 另一个问题是,那些文件可以包含其他文件呢?实际上,通过设置IIS,你可以允许任何文件类型使用SSI。缺省地, .shtm,.shtml,.asp,.stm是可以使用Include的。 我们来看看如何使某种文件类型使用Include。在Internet
springboot中spring.profiles.include的妙用
jasnet_u的博客
10-10 5万+
springboot中spring.profiles.include的妙用。   我们有这样的一个springboot项目。项目分为开发、测试、生产三个不同阶段(环境),每个阶段都会有db、ftp、redis等的不同配置信息。我们可以使用spring.profiles.include来实现三种不同环境的一键切换。   项目总(入口)配置文件: bootstrap.yml  ,内容如下 ...
Spring中多个工程下多个资源文件ignoreUnresolvablePlaceholders配置
litxuf的专栏
06-24 180
&lt;bean id="propertyConfigurerForAnalysis" class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer"&gt; &lt;property name="location"&gt; &lt;value&gt;classpath:/spri..
Spring之请求分发(Dispatching Requests) 之include方法
luccs624061082的专栏
12-12 2664
9.3  the include methon RequestDispacher接口的include方法可能在任何时候被调用。include方法的目标servlet,虽然可以访问请求对象的所有信息,但是响应对象的使用上受限很大。 其可能仅写信息到响应对象的ServletOutputStream或者Writer并通过写内容到响应缓冲区中提交一个响应,或者直接调用ServletRe
include mysql库文件
06-27
"include mysql库文件"这个标题指的是在你的iOS项目中引入MySQL的C语言接口,因为MySQL官方提供了适用于多种平台,包括iOS的C API。这个过程涉及到几个关键步骤和知识点,下面将详细解释。 首先,你需要下载MySQL的...
PHP脚本中include文件出错解决方法
10-30
PHP编程中,`include`、`require...同时,定期检查和更新文件和目录的权限设置,确保它们符合安全标准,防止不必要的访问。最后,良好的错误处理机制,如自定义错误处理器,可以帮助你在出现问题时提供更具体的反馈。
文件安全
02-17
文件安全 Filesec是一个程序,它将使用OPENSSL库对文件进行加密/解密。 生成文件 使用制作文件执行不同的操作 make make clean make tests 资料来源 ├── build ├── *.o ├── include ├── crypt.h ├─...
asp动态include文件
07-31
### ASP 动态 Include 文件解析 #### 标题与描述中的知识点 ...- 使用这种技术时需要注意安全性和性能问题,特别是当包含外部文件时要确保文件来源的安全可靠,同时也要注意避免不必要的资源消耗。
Web应用安全文件包含漏洞简介.pptx
06-18
文件包含漏洞是Web应用安全领域中的一个重要话题,它主要源于开发者在编程时为了代码复用而采用的文件包含机制。这种机制允许程序动态地加载和执行存储在不同文件中的代码,但同时也为攻击者提供了可乘之机。下面将...
【SpringMVC】<context:include-filter>和<context:exclude-filter>使用时要注意的地方
admin87012的博客
06-27 628
在Spring MVC中的配置中一般会遇到这两个标签,作为<context:component-scan>的子标签出现。 但在使用时要注意一下几点: 1.在很多配置中一般都会吧Spring-common.xml和Spring-MVC.xml进行分开配置,这种配置就行各施其职一样,显得特别清晰。 在Spring-MVC.xml中只对@Controller进行扫描就可,作为...
使用import简化spring的配置文件
热门推荐
行云流水
09-14 7万+
对于spring配置文件的编写,我想,对于经历过庞大项目的人,都有那种恐惧的心理,太多的配置文件。不过,分模块都是大多数人能想到的方法,但是,怎么分模块,那就是仁者见仁,智者见智了。我的策略是使用import。基本代码格式如下 web.xml    ......    context-param>        param-name>contextConfigLocationparam-n
使用Spring CommonsMultipartResolver 上传文件
aWangz的专栏
07-25 7万+
转载自 : 兰馨岚雨  http://yanglei008.iteye.com/blog/246920   SpringMVCJavaStrutsJSP  可以在controller(spring mvc)  或者 action (struts mvc) 中直接使用CommonsMultipartResolver  Java代码      ...Contr
springboot配置文件application中spring.profile.active和include属性的区别
Jake Weng
05-29 3565
0. 参考文档 Spring框架官方说明 https://www.logicbig.com/tutorials/spring-framework/spring-boot/profile-specific-properties-with-include-property.html 1. 概念 Properties from spring.profile.include are always loa...
pragma once、include防范、包括警卫优化
qq_41786318的博客
07-31 438
这个页面来自对comp.lang.c ++的讨论。关于在C或C ++程序中#including头文件的最有效方式。通常,每个头文件只应为#included一次。在一个中等大小的项目中,头文件#include其他头文件,如果没有某种形式的自动化帮助,很难保持这个规则。一个常见的习惯用法是在包含的头文件的内容周围放置“包含警卫”。例如 档案“myheader.hpp” #ifndef MYHEAD...
SpringBoot+Thymeleaf实现html文件引入(类似include功能)
hustwht的专栏
01-26 9915
由于对高大上的前端处理不太熟悉,想直接通过MVC的方式进行内容传递,因此选用了Thymeleaf模版处理向前端传值的问题。 但是觉得很多PHP框架所实现的include模版的方式很不错,能够很好的实现头文件、导航、页尾等和主要内容的解耦,因此想通过使用Thymeleaf模版的同时,也能实现类似于include的功能。 思路和背景 觉得如果有精力,最好还是RESTFul的结构,然后前端采用ang
Spring boot资源文件映射问题
Lovincc的博客
10-28 6733
版本 1.5.7 资源文件在自己的自定义目录 spring boot默认把资源文件存放的地址是: 默认配置的 /** 映射到 /static (或/public、/resources、/META-INF/resources) 默认配置的 /webjars/** 映射到 classpath:/META-INF/resources/webjars/ 我的项目结构POM <!-
phpinclude的返回值
phphot
07-09 6178
php有一个include,顾名思义,就是用来包含文件的。相应的还有require,以及两个带once的。不知道大家有没有注意过include的 返回值。通常情况下,包含成功返回1,包含失败返回false。但是,如果被包含文件中用return返回,那么这个值就是return的值。比如://1.php$ret = include 2.php;echo "$ret/n"; //
引用外部Spring配置文件
totally123的专栏
08-09 755
背景 Spring的配置文件有两种,分别是Spring和Spring MVC的配置文件,一般放在classpath下或者WEB-INF下,加载的方式一般在web.xml中声明,如下: &amp;amp;amp;amp;amp;amp;lt;?xml version=&amp;amp;amp;amp;amp;quot;1.0&amp;amp;amp;amp;amp;quot; encoding=&amp;amp;amp;amp;amp;quot;UTF-8&am
PHP文件包含漏洞深度解析
在网络安全领域,文件包含漏洞是一种常见且危害极大的问题。文件包含漏洞主要源于程序设计中的动态文件加载机制,它允许攻击者通过控制某些输入参数,来改变程序包含的文件路径,从而可能导致恶意代码的执行或者敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值