[英]How do i Prevent remote file inclusion attack from php?
这是我在index.php中的代码
include ($_GET['page']);
实际上,我需要包含来自url的页面,例如
"?page=go.php"
另一方面,我无法过滤
"?page=example.com"
对于某些情况,我还需要包括此值。 但这是一个远程文件包含(RFI)漏洞。 如何防止我的网站遭受RFI攻击? 我正在做类似的事情
$filename = $_GET['page'];
if (file_exists($filename)) {
{
include ($_GET['page']);
}
但是它只过滤
"?page=go.php"
这页的短裤。 和我很烂
"?page=example.com"
这页的短裤。
如果我正确理解了这个问题; 您可以使用“允许的”页面设置数组,例如:
$allowedPages = array('go.php', 'stop.php', 'file.php');
$filename = $_GET['page'];
if(in_array($filename, $allowedPages) && file_exists($filename)){
include ($filename);
}else{
//output error
}
我认为这个答案为时已晚,但是对于那些可能会搜索此问题的人,我想也可以这样做:
1,定义一个完整路径的常数
2.定义允许页面的白名单。
3.获取$ _GET变量,并将其转换为小写。
4.然后,如果$ _GET变量返回的页面在您的白名单数组中,则需要它,否则,将用户重定向到主页,并显示错误消息。
<?php
# this is abcd.php
define('SITE','http://www.yoursite.com/');
$allow = [SITE.'1.php', SITE.'2.php', SITE.'3.php'];
$get = strtolower(SITE.$_GET['page']);
if(in_array($get,$allow)){
include $get;
} else {
header('Location: index.php?param=incorrect');
}
?>
<?php
# this is index.php
if(isset($_GET['param']) && $_GET['param'] == 'incorrect'){
?>
<script type="text/javascript">
alert("INCORRECT PARAMETER PROVIDED");
</script>
<?php
} else die('ERROR');
我不是100%确信没有任何问题就能解决问题,但是我想这是一个好的开始,您可以尝试一下,找出适合自己的方法。
老实说,您创建dynamic
网站的方法绝对不是走的路。
要在此问题的范围内回答,您将执行以下操作:
您必须设置**允许**的文件whitelist
,才能通过此功能包含在内。
可能看起来像这样:
<?php
$whitelist = array(
'file1.php',
'file2.php',
'file3.php',
'file4.php',
'file5.php',
);
?>
现在,在包含所述文件之前,您将使用in_array()
运行检查
<?php
if(in_array($_GET['page'] . '.php', $whitelist) && file_exists($_GET['page'] . '.php')) {
include($_GET['page'] . '.php');
}
?>
如您所见,这不是很漂亮! 另一种选择是做类似的事情:
<?php
$file = strtolower($_GET['page']) . '.php';
if(isset($whitelist[$file]) && file_exists($file)) {
include($_GET['page'] . '.php');
}
?>
不接受page.php参数,仅接受文件名。
"?page=go"
然后检查$ _REQUEST [“ page”]是否为字母数字
if (ctype_alnum($_REQUEST["page"]))
而且,不要给文件使用非字母数字名称。
然后,如果file_exists位于$ _REQUEST [“ page”]上,您应该会很好。
PS $ _REQUEST [“ page”]与$ _GET [“ page”]大致相同,只是与$ _POST相交
您可以过滤其他域网址,而不是过滤文件。 如果参数包含的主机名少于3个字母,则可以正常使用,因为没有域是2个字母。
$tmp= parse_url ($_GET['page']);
if(strlen($tmp['host'])<3)
include($_GET['page']);
如果有一些受信任的主机,那么您也可以对其进行验证。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.