360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程

 找回密码
 快速注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
1 2 3 4
查看: 2625|回复: 0
打印 上一主题 下一主题

PHP程序中如何安全的使用Include包含文件

[复制链接]

823

主题

909

帖子

4623

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
4623
跳转到指定楼层
楼主
发表于 2015-10-9 11:36:36 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

亲!这问题您也搜索很久了吧?不如咨询下我们吧


613049616  613049616  613049616   613049616   613049616


似乎多数人都觉得Include文件是一件非常简单的事情,可惜漏洞往往出现在我们忽视的地方。正所谓千里之堤溃于蚁穴,二战期间,法国人寄希望与马奇诺防线,却忽视了原本认为非常安全的阿登高地,让德国人有机可乘,最终的结果大家都知道了。
下面这个例子虽然是我杜撰的,但是我确信现实情况里一定存在类似的问题:

<?php

$debug = false;

// ...

$config = include 'config.php';

// ...

if ($debug) {
    phpinfo();
}

?>

码农在代码中埋了一个调试开关,缺省是关闭状态,必要的时候可以开启,以便显示一些特殊的信息,同时代码里包含了一个配置文件,它的内容大致如下所示:

<?php

return array(
    'foo' => '...',
    'bar' => '...',
);

?>

突然有一天,码农因为一些其它的缘由修改了配置文件,引入了一些临时变量:

<?php

$debug = true;

$config = array(
    'foo' => '...',
    'bar' => '...',
);

/*
if ($debug) {
    var_dump($config);
}
*/

return $config;

?>

结果问题产生了!配置文件里的临时变量(debug)污染了其它脚本的变量空间,进而导致代码执行的结果不再符合预期,最终问题也就在所难免了。
如何安全的Include文件?很简单,在Include的时候注意限制变量的作用域即可:

<?php

$config = call_user_func(function() {
    return include 'config.php';
});

?>

类似的做法在Javascript中很常见,但在PHP中却鲜有人注意,你的代码有问题么?
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则


Archiver|手机版|小黑屋|360wzgj Inc. 百度统计

GMT+8, 2024-11-1 15:19 , Processed in 0.068816 second(s), 31 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表