weixin_43778463 2023-01-21 15:48 采纳率: 70.4%
浏览 24
已结题

远程文件包含和本地文件包含,这两种涉及的php.ini设置有什么?

问题遇到的现象和发生背景
遇到的现象和发生背景,请写出第一个错误信息
用代码块功能插入代码,请勿粘贴截图。 不用代码块回答率下降 50%
运行结果及详细报错内容
我的解答思路和尝试过的方法,不写自己思路的,回答率下降 60%
我想要达到的结果,如果你需要快速回答,请尝试 “付费悬赏”

远程文件包含和本地文件包含,这两种涉及的php.ini设置有什么?

  • 写回答

1条回答 默认 最新

  • 临风而眠 2023-01-21 16:07
    关注

    远程文件包含(RFI)和本地文件包含(LFI)是两种漏洞类型,它们允许攻击者从远程服务器或本地文件系统中包含并执行文件。 RFI和LFI漏洞可用于在目标服务器上执行恶意代码并获得未经授权的敏感信息访问权限。

    与RFI和LFI漏洞相关的PHP配置设置有:

    • allow_url_fopen:设置控制PHP是否可以通过URL访问文件(即远程文件)。当设置为“On”时,PHP可以使用file_get_contents()和include()等函数访问远程文件。当设置为“Off”时,这些函数不能用于访问远程文件,这可以帮助防止RFI攻击。
    • allow_url_include:此设置控制PHP是否可以从URL中包含文件(即远程文件)。当设置为“On”时,PHP可以使用include()和require()函数包含远程文件。当设置为“Off”时,这些函数不能用于包含远程文件,这可以帮助防止RFI攻击。
    • open_basedir: 此设置限制PHP可以访问文件系统上的文件。通过将open_basedir设置为特定目录,您可以将PHP的文件访问限制为仅指定目录及其子目录。这可以通过限制攻击者可以包含的文件来防止LFI攻击。

    最好是将所有这些设置的权限保持在最低要求水平(Off或您想要访问的路径),以防止任何潜在的攻击,并且也要确保您的Web应用程序是最新的安全补丁,以修复任何已知的漏洞。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 系统已结题 1月31日
  • 已采纳回答 1月23日
  • 创建了问题 1月21日

悬赏问题

  • ¥20 hc130怎么读写内部flash存储信息
  • ¥15 Axure rp9注册与登录交互
  • ¥15 我下载图形界面重启完就变成这样了,打字也打不了,动也动不了,该怎么解决(操作系统-centos)
  • ¥15 VBA中在窗体中遍历所有checkbox控件,提取出被选中的checkbox的caption值
  • ¥15 在Ubuntu上有什么命令,或者是系统文件能告诉我链接nvme ssd的pcie槽位是不是支持热插拔功能?
  • ¥15 ansys license许可证问题
  • ¥20 QQ号和密码都能正常登录微信 QQ号和密码登录微信显示密码错误
  • ¥15 qiankun主应用注册子应用提示跨域
  • ¥15 单片机RTOS Kernel与应用分离开发,Kernel如何调起应用?
  • ¥15 快手小店商家版APP怎么第三方APP跳转到指定用户聊天界面