php - 使用REGEX过滤/清理QUERY_STRING以防止RFI攻击

i would like to have a REGEX to ~~filter~~/match the QUERY_STRING whenever contains the parameters like theese php|data|ftp|http|..|/|:// and any other character that can be used for Remote File Inclusion.

Thank's to all for the time:

PS: i know this is better done with htaccess but i need a regex now.

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

2条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
donglei1973 2011-07-13 11:03
关注
If you want to prevent remote file inclusion, you could simply disable the stream wrappers, e.g.

allow_url_include - this option allows the use of URL-aware fopen wrappers with the following functions: include(), include_once(), require(), require_once().

and for any other URL aware functions

disable allow_url_fopen - This option enables the URL-aware fopen wrappers that enable accessing URL object like files

If you want to check if the query param is a URL, you can use parse_url

if (parse_url($url) === FALSE) {

or use the filter_* functions

if (filter_var($url, FILTER_VALIDATE_URL) === FALSE) {
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(1条)

报告相同问题？

关注问题

php - 使用REGEX过滤/清理QUERY_STRING以防止RFI攻击 php
2011-07-13 10:49

回答 2 已采纳 If you want to prevent remote file inclusion, you could simply disable the stream wrappers, e.g.
php - regex / preg_match_all（子）短代码属性 php
2014-08-14 18:22

回答 1 已采纳 If I understand your question, this might be what you need $string = '[to_custom_font family="Lat
RegEx字表现：\ w vs [a-zA-Z0-9_] c# perl php
2019-04-16 01:40

回答 3 已采纳 [ This answer is Perl-specific. The information within may not apply to PCRE or the engine used by
CTF 中的 PHP 漏洞利用总结
2019-10-12 09:21

3riC5r的博客 md5 和 sha1 支持第二个参数，如果为 true，则会将 hash 后的 16 进制字符串以 16 进制转成字符串的形式返回，如果在 SQL 语句中这样写，会存在注入的问题。提供一个字符串：ffifdyop，md5后，276f722736c95d99e...
PHP使用DOMDocument和/或Regex从HTML中提取URL php
2018-09-26 15:31

回答 1 已采纳 I think you can use regex to fetch this value which will be easier. $txt = <<<TXT <ht
使用Regex - PHP删除JavaScript注释 html javascript php
2019-04-06 16:03

回答 1 已采纳 Like you say, when you Minify your code using the function, all the HTML code be in single line, f
使用Regex / PHP将字符串中的第一个数字替换为连续数字 php
2017-09-14 14:56

回答 1 已采纳 Turning my comment into an answer, you need to use a capturing group: preg_replace('/([0-9])[0-9]
Kali linux 2016.2（Rolling）中的Exploits模块详解
2017-11-08 11:21

weixin_34376562的博客简单来讲，这个Exploits模块，就是针对不同的已知漏洞的利用程序。 root@kali:~# msfconsole Unable to handle kernel NULL pointer dereference at virtua...
如何通过php正则表达式获取data-cfemail标签内的字符串？ php
2018-07-12 21:21

回答 2 已采纳 You don't have less than or greater than symbols in your string. Try: data-cfemail="?([^"\]]+)(?:
PHP REGEX preg_replace_callback不匹配 php
2018-01-02 08:19

回答 1 已采纳 The preg_replace_callback function works fine in the following code: $parsed_string = "[history=\
PHP - 使用数据库搜索字符串LIKE语法/通配符（％，_）[重复] php
2015-07-30 20:50

回答 1 已采纳 After a bit of work, this is the best I could come up with: public function like($needle, $haysta
ctf与PHP千丝万缕的联系
2020-01-10 14:50

_UPS_的博客参考链接：<https://www.restran.net/2016/09/26/php-security-notes/>不得不说，大佬写的十分好
PHP正则表达式 - 对于[[_string_]]，返回_string_？ php
2013-09-23 18:48

回答 2 已采纳 $string = preg_replace("/\[\[([^\|]+)|([^\]]+)\]\]/", "<a href=\"\\1\">\\2</a>", $stri
lnmp环境加上一些包的安装-持续更新(针对centos6和7)
2019-10-02 21:21

无言丶的博客 sed -i "s@^#Port.*@Port "$Port"@g" /etc/ssh/sshd_config #OpenSSH在用户登录的时候会验证IP，它根据用户的IP使用反向DNS找到主机名，再使用DNS找到IP地址，最后匹配一下登录的IP是否合法。如果客户机的IP没有域名...
攻防世界-web高手进阶区
2021-04-25 17:41

ZJL_19的博客提示：这里是记录web的题目，这里我基本不讲很多细节，请自行下载Burpsuite，web使用的等等工具。一、baby_web 非常的简单，bp抓包直接把1.php去掉后，就看的flag了。二、Training-WWW-Robots 非常的简单，点...
没有解决我的问题, 去提问

悬赏问题

¥15 使用ue5插件narrative时如何切换关卡也保存叙事任务记录
¥20 软件测试决策法疑问求解答
¥15 win11 23H2删除推荐的项目，支持注册表等
¥15 matlab 用yalmip搭建模型，cplex求解，线性化处理的方法
¥15 qt6.6.3 基于百度云的语音识别不会改
¥15 关于#目标检测#的问题：大概就是类似后台自动检测某下架商品的库存，在他监测到该商品上架并且可以购买的瞬间点击立即购买下单
¥15 神经网络怎么把隐含层变量融合到损失函数中？
¥15 lingo18勾选global solver求解使用的算法
¥15 全部备份安卓app数据包括密码，可以复制到另一手机上运行
¥20 测距传感器数据手册i2c

php - 使用REGEX过滤/清理QUERY_STRING以防止RFI攻击

2条回答 默认 最新

悬赏问题

2条回答默认最新