是否将“http：//”添加到PHP的fopen（）文件名中，足以防止读取本地文件？

I have a PHP script that accepts a file URL by GET and opens it with fopen.
Is this solution safe enough or is it a security breach?

$filename = $_GET['file'];
if( substr( $filename, 0, 7 ) !== 'http://' )
    $filename = 'http://'.$filename;

fopen( $filename, 'r' );
// etc...

This way you can't force a local path to the script to read from it.

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

4条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
douyun3631 2011-02-12 23:16
关注
That should work, but here are two more things to think about:

Giving access to other servers. If your server is behind a firewall, someone could use this to fetch data from another server behind your firewall (or hit a service, etc.) using HTTP, FTP, etc.

Recursive denial of service. Make sure that there's not a way for someone to give you the URL of the script itself to fetch in a way that makes a recursion loop.
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(3条)

报告相同问题？

关注问题

是否将“http：//”添加到PHP的fopen（）文件名中，足以防止读取本地文件？ php
2011-02-12 23:12

回答 4 已采纳 That should work, but here are two more things to think about: Giving access to other servers.
如何在php中将url（http：/ \ / \ test）解码为（http：// test）？ html php
2019-08-19 10:33

回答 2 已采纳 You can add JSON_UNESCAPED_SLASHES constant to the json_encode() like so: json_encode($data, JSO
为什么我不能写入/ dev / stdout，但php：// stdout有效吗？ apache docker linux php
2019-06-13 15:07

回答 1 已采纳 The reason is that Apache forks and changes user to a less privileged one (the "apache" user) whic
使用PHP写入文件和读取文件
2020-06-20 03:27

cunjie3951的博客在本教程中，我将向您展示从本地或远程文件读取数据的最简单方法，以及如何使用标志按照我们想要的方式写入文件。检查文件是否存在尝试从文件中读取数据或向文件中写入内容时，第一步应...
如何使用php中的curl将文件从本地上传到服务器？ php
2019-02-11 08:23

回答 1 已采纳 I think you miss important information. fopen ("user.com/user/fromLocal.txt", 'w+') this means
fopen在php中创建root拥有的文件 php
2018-12-01 16:01

回答 1 已采纳 Don't know why and I would like to know, but this solve the issue: I've use this: chmod($dir, 07
PHP：什么时候应该将未转义的UTF-8保存到json文件中？ json php
2017-10-25 10:55

回答 1 已采纳 With JSON_UNESCAPED_UNICODE the JSON is now: more human readable not ASCII-safe That's the onl
内容来至（http://blog.csdn.net/dadaadao/rss/list）
2016-04-22 11:15

barton651390170的博客该函数将一个WM_KEYDOWN或WM_SYSKEYDOWN消息翻译成一个WM_COMMAND或WM_SYSCOMMAND消息（如果在给定的加速键表中有该键的入口），然后将WM_COMMAND或WM_SYSCOMMAND消息直接送到相应的窗口处理过程。 TranslateMessage...
在php中从本地磁盘读取文件 ajax javascript jquery php svn
2016-03-30 00:48

回答 2 已采纳 $file "is" the file resource; you don't want to print that but rather the return value of fread(),
PHP：fopen没有这样的文件或目录错误 php
2017-07-18 14:18

回答 1 已采纳 Without specifying a protocol, PHP will search for a file on your computer named test123 under ./e
如何使用PHP将.csv文件内容操作到HTML表中？ php
2016-04-05 17:40

回答 1 已采纳 Get rid of this line: fgetcsv($handle); That is: if(($handle=fopen($csv_file,"r"))!== FALSE){
PHP 最新精品面试题
2019-01-13 21:13

咦呀的博客 memcache的数据存在内存中，而redis既可以存储在内存中，也可以存储的到磁盘中，达到持久化存储的功能，memcache一旦断电，数据全部丢失，redis可以利用快照和AOF把数据存到磁盘中，当恢复时又从磁盘中读取到内存中...
当使用$ _POST属性文件名时，如何告诉PHP将文件保存在特定文件夹中？ php
2015-11-16 01:20

回答 1 已采纳 You have several problems. First, you have syntax errors. Second, you have serious security vulner
论c++里的string（原地址：https://www.byvoid.com/blog/cpp-string）
2014-12-07 18:50

weixin_30521649的博客如果使用C/C++ 就麻烦了，他需要做以下工作：先打开文件，检测文件是否打开，如果失败，则退出。声明一个足够大得二维字符数组或者一个字符指针数组读入一行到字符空间然后分析一行的结构，找到空格，存入字符...
c++ string http://www.byvoid.com/blog/cpp-string/
2012-02-07 14:07

ffeng271的博客先打开文件，检测文件是否打开，如果失败，则退出。声明一个足够大得二维字符数组或者一个字符指针数组读入一行到字符空间然后分析一行的结构，找到空格，存入字符数组中。关闭文件写一个排序函数，...
php汇总
2018-03-05 17:01

weixin_30872671的博客 memcache的数据存在内存中，而redis既可以存储在内存中，也可以存储的到磁盘中，达到持久化存储的功能，memcache一旦断电，数据全部丢失，redis可以利用快照和AOF把数据存到磁盘中，当恢复时又从磁盘中读取到内存中...
php
2021-05-24 23:39

赴欲的博客 PHP 一、 PHP简介什么是PHP PHP定义：一种服务器端的 HTML 脚本/编程语言,是一种简单的、面向对象的、解释型的、健壮的、安全的、性能非常之高的、独立于架构的、可移植的、动态的脚本语言。是一种广泛用于 Open ...
【php毕业设计】基于php+mysql+apache的subversion用户管理系统设计与实现（毕业论文+程序源码）——用户管理系统
2022-06-28 21:44

毕业设计方案专家的博客大家好，今天给大家介绍基于php+mysql+apache的subversion用户管理系统设计与实现，文章末尾附有本毕业设计的论文和源码下载地址哦。文章目录：本系统主要是基于Web的subversion系统的用户管理系统。在开源软件世界...
PHP扩展简介
2020-08-11 15:58

邢富鹏的博客 PHP扩展简介 PHP目前提供了150多个扩展，PHP在安装之初...bzip2 函数用于透明地读写 bzip2（.bz2）压缩文件。 calendar 历法扩展集包括了一系列用于在不同历法间进行转换的函数，它是以Julian Day计数为中介或标准来
没有解决我的问题, 去提问

悬赏问题

¥15 怎样才能让鼠标沿着线条的中心线轨迹移动
¥60 用visual studio编写程序，利用间接平差求解水准网
¥15 Llama如何调用shell或者Python
¥20 谁能帮我挨个解读这个php语言编的代码什么意思？
¥15 win10权限管理，限制普通用户使用删除功能
¥15 minnio内存占用过大，内存没被回收（Windows环境）
¥65 抖音咸鱼付款链接转码支付宝
¥15 ubuntu22.04上安装ursim-3.15.8.106339遇到的问题
¥15 blast算法（相关搜索：数据库）
¥15 请问有人会紧聚焦相关的matlab知识嘛？

是否将“http：//”添加到PHP的fopen（）文件名中，足以防止读取本地文件？

4条回答 默认 最新

悬赏问题

4条回答默认最新