Dies ist mein Code in index.phpWie verhindere ich Remote-Dateieinschluss Angriff von PHP?
include ($_GET['page']);
Actully muss ich Seite von url sind wie
"?page=go.php"
auf der anderen Seite kann ich nicht
"?page=example.com"
filtern als Für einige Fälle muss ich diesen Wert ebenfalls angeben. Dies ist jedoch eine Sicherheitsanfälligkeit durch Remote File Inclusion (RFI). Wie kann ich RFI-Angriffe von meiner Site aus verhindern? Ich tue so etwas wie
$filename = $_GET['page'];
if (file_exists($filename)) {
{
include ($_GET['page']);
}
Aber es filtert nur
"?page=go.php"
diese Shorts auf der Seite. und ich bin mit
"?page=example.com"
dieser Shorts von Seite gesaugt.
warum konfigurieren Sie nicht eine Liste der zugänglichen Seiten, gegen die validiert werden soll? – konghou
Ich kann eine Liste nicht so machen, weil es keine Beschränkung auf zugängliche Seiten gibt, Benutzer werden dort Links setzen, und ich werde einige Informationen davon holen. –
Sie können eine Liste von zugänglichen Seiten mit Verzeichnis lesen Funktionen in PHP erstellen. – konghou