「作者简介」:2022年北京冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础对安全知识体系进行总结与归纳,著作适用于快速入门的 《网络安全自学教程》,内容涵盖系统安全、信息收集等12个知识域的一百多个知识点,持续更新。
这一章节我们需要知道文件包含漏洞的原理和利用方式。
文件包含漏洞
一、什么是文件包含漏洞?
文件包含漏洞常出现在「PHP语言」中。
PHP为了提高「代码复用性」,提供了文件包含函数 include()
和 require()
,被包含的文件内容会被当做代码来执行。
就像造轮子一样:把「重复使用」的一段代码,单独写到一个文件里,再用文件包含函数来包含这个文件。
为了灵活的包含文件,一些程序员会把文件名通过「参数」的形式传递给文件包含函数。