|
|
一、涉及到的危險函數(shù)〔include(),require()和include_once(),require_once()〕
include() && require()語句:包括并運行指定文件。
這兩種結構除了在如何處理失敗之外完全一樣。include() 產生一個警告而 require() 則導致一個致命錯誤。換句話說,如果你想在遇到丟失文件時停止處理頁面就用 require()。include() 就不是這樣,腳本會繼續(xù)運行。
如果"allow_url_fopen"在 php 中被激活(默認配置),也可以用 URL(通過 HTTP 或者其它支持的封裝協(xié)議)而不是本地文件來指定要被包括的文件。如果目標服務器將目標文件作為 php 代碼解釋,則可以用適用于 HTTP GET 的 URL 請求字符串來向被包括的文件傳遞變量。
詳細參考:http://cn.php.NET/manual/en/function.include.php
require_once() && include_once()
require_once ()和include_once() 語句在腳本執(zhí)行期間包括并運行指定文件。此行為和 require() 語句類似,唯一區(qū)別是如果該文件中的代碼已經被包括了,則不會再次包括。適用于在腳本執(zhí)行期間同一個文件有可能被包括超過一次的情況下,你想確保它只被包括一次以避免函數(shù)重定義,變量重新賦值等問題。
詳細參考:http://cn.php.NET/manual/en/function.require-once.php
二、為什么要包含文件
程序員寫程序的時候,不喜歡干同樣的事情,也不喜歡把同樣的代碼(比如一些公用的函數(shù))寫幾次,于是就把需要公用的代碼寫在一個單獨的文件里面,比如 share.php,而后在其它文件進行包含調用。在php里,我們就是使用上面列舉的那幾個函數(shù)來達到這個目的的,它的工作流程:如果你想在 main.php里包含share.php,我將這樣寫include("share.php")就達到目的,然后就可以使用share.php中的函數(shù)了,像這個寫死需要包含的文件名稱的自然沒有什么問題,也不會出現(xiàn)漏洞,那么問題到底是出在哪里呢?
有的時候可能不能確定需要包含哪個文件,比如先來看下面這個文件index.php的代碼:
[code]
if ($_GET
php技術:php 遠程包含文件漏洞分析第1/6頁,轉載需保留來源!
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯(lián)系我們修改或刪除,多謝。
