本地文件包含str_replace安全性

I am trying to write local file inclusion secured php file. I found a breakable solution in DVWA like that:

$file = str_replace( array( "..\\" ), "", $file );

Than I took a step forward and wrote this:

 $secure  = $_GET[ 'page' ];
 $secure = str_replace( array( ".", "\\" ), "", $secure );

 if (isset($secure)) 
 {        
   include($secure.'.php');         
 }

I couldn't break this security. Also I've never seen it used anywhere. Why nobody use this replacing trick for single dot and single backward slash?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

报告相同问题？

关注问题

PHP用str_replace（）替换URL段; php
2015-10-13 22:20

回答 5 已采纳 $url = '/foo/bar/url/'; if (false !== $last = strrpos($url, '/')) { if (false !== $penultimat
str_replace（）无效 php
2017-12-17 17:22

回答 1 已采纳 Your problem is that you're not providing the values of $en and $de to your function when calling
PHP str_replace使用通配符刮取内容？ php
2018-08-17 20:23

回答 3 已采纳 Well maybe my question wasn't that good written. I had a table which I needed to scrape from a web
php str_replace 或,php中的str_replace知识点大全
2021-04-04 08:17

陈悦天的博客一 php str_replace preg需要我们用程序处理的数据并不总是预先以数据库思维设计的，或者说是无法用数据库的结构去存储的。比如模版引擎解析模版、垃圾敏感信息过滤等等。一般这种情况，我们用正则按我们的规则去...
str_ireplace（）不会仅替换最后一个匹配项 php
2018-05-29 07:21

回答 2 已采纳 This happens because you output $x, and what is $x? It is $contents with last $link processed. I'm
PHP str_replace（）在用户定义的函数中不起作用 php
2014-07-09 11:29

回答 1 已采纳 Spell $seachfor correctly and it will work.
如何检测str_replace（）是否已更换？多少钱？ php
2015-06-20 12:02

回答 1 已采纳 There is a fourth count argument to str_replace() that counts the total number of replacements act
文件包含漏洞之——str_replace函数绕过与——包含截断绕过
2020-04-08 22:17

温柔小薛的博客实验环境DVWA，安全性medium 有时程序员会使用str_replace函数进行防御，这个函数是极其不安全的，因为可以使用双写绕过替换规则轻松绕过绕过方法例如page=hthttp://tp://192.168.0.103/phpinfo.txt时，str_...
php str_replace static到动态id php
2016-04-06 06:11

回答 2 已采纳 Try: for ($i = 1; $i <= 4; $i++) { $test$i = str_replace('<strong>','<div id="test'.
Foreach循环使用多个str_replace php
2017-12-01 15:32

回答 2 已采纳 str_replace can replace array of values to array of other values: foreach ($icons as $ic) { e
PHP：如何使用str_replace php
2017-04-18 15:01

回答 2 已采纳 Instead of preg_replace use str_replace for exact matching and replacement. Problem in your code
php 替换 tab,php中str_replace替换实例讲解
2021-03-23 12:57

一个喜欢写作的人的博客从方法的实用性来说，str_replace就非常适合处理多个字符串的替换问题。下面我们就php中str_replace的概念、语法、参数、返回值进行讲解，然后带来替换的实例分享。1、概念str_replace() 函数以其他字符替换字符串中...
str_replace函数无法替换多个值[重复] php
2019-05-26 04:52

回答 1 已采纳 <?php include_once("con.php"); $db = new Da(); $con = $db->con(); $lclString = "{{ONE}} {
preg_match_all 和 preg_replace 区别
2022-10-07 11:37

豫迷糊的博客 preg_replace是用来替换类似性的有规律性的内容的,str_replace是用来替换已知的内容的,可以是有规律的也可以是没有规律的,替换的值由你手动写的。preg_match_all 和 preg_replace 的区别简单说是两个用法相反...
php preg_replace /e 模式漏洞分析
2022-04-15 19:09

quan9i的博客 h=${phpinfo()} 此时执行的就是eval(test(${phpinfo()})，，而后为eval(test(1))，里面那个是空的，所以执行结果为空，没有错误，可以正常执行总结这个漏洞可被利用性很大，但是在php5.5版本上/e就被弃用，因此...
没有解决我的问题, 去提问

悬赏问题

¥15 微信会员卡等级和折扣规则
¥15 微信公众平台自制会员卡可以通过收款码收款码收款进行自动积分吗
¥15 随身WiFi网络灯亮但是没有网络，如何解决？
¥15 gdf格式的脑电数据如何处理matlab
¥20 重新写的代码替换了之后运行hbuliderx就这样了
¥100 监控抖音用户作品更新可以微信公众号提醒
¥15 UE5 如何可以不渲染HDRIBackdrop背景
¥70 2048小游戏毕设项目
¥20 mysql架构，按照姓名分表
¥15 MATLAB实现区间[a,b]上的Gauss-Legendre积分

码龄粉丝数原力等级 --

本地文件包含str_replace安全性

0条回答默认最新

悬赏问题

本地文件包含str_replace安全性

0条回答 默认 最新

悬赏问题

0条回答默认最新