if (file_exists("pages/$page.php")) {
include($page.'.php');
}
Is this safe?
With Safe i mean that you cant include remote scripts etc
文件存在安全吗?
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
6条回答 默认 最新
- douiwn6941 2009-08-27 16:25关注
The code you posted has a typo i believe. It should be:
if (file_exists("pages/$page.php")) { include("pages/$page.php"); }It however leads to code injection, if PHP settings allow it, remote file inclusion.
You need to make sure the page that you include can not be any arbitrary page.
Usually you'll see this type of code in a "Loader" class employing the Factory Method, however, in good implementations it restricts the files and classes it will load to a certain directory, or to a certain predefined set of files.
解决 无用评论 打赏举报 分享
- 2022-10-18 14:17回答 2 已采纳 核心文件混淆过的。。。没搞头。。过滤有输出什么特别的内容吗?用Dreamweaver之类的编辑软件搜索下输出内容看是否找得到匹配的内容。。
- 2022-09-29 09:29回答 2 已采纳 php://filter/read=convert.base64-encode/some/resource=flag.php
- 2016-11-08 14:01回答 2 已采纳 require_once does not include the code from the other class right on the spot. The behavior of req
- 2021-11-11 21:46Z3eyOnd的博客 文章目录常见的文件包含函数基本绕过:利用php伪协议1.php://input2.php://filter3.data协议4.zip协议5.bzip2://协议6.zlib://协议7. phar://协议8..file协议日志包含介绍利用条件漏洞利用流程日志文件路径远程文件...
- 2012-10-10 11:23回答 3 已采纳 Never execute Depending on what the use of this file, there shouldn't be much risk involved. Just
- 2017-06-14 06:26回答 3 已采纳 ``` ``` //有上传文件时 if (empty($_FILES) === false) { //原文件名 $file_name = $_FILES['imgFile'
- 2019-04-18 16:30回答 1 已采纳 Generally we use Opcache for caching the complied opcode so that when the same script will run it
- 2022-05-11 17:22知白守黑V的博客 一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session...
- 2016-06-27 03:42回答 1 已采纳 Exposing filenames do not imply any major risks, but can have more subtle risks though. For insta
- 2023-01-21 15:48回答 1 已采纳 远程文件包含(RFI)和本地文件包含(LFI)是两种漏洞类型,它们允许攻击者从远程服务器或本地文件系统中包含并执行文件。 RFI和LFI漏洞可用于在目标服务器上执行恶意代码并获得未经授权的敏感信息访问
- 2021-08-26 15:22回答 2 已采纳 把文件引用地址写成绝对路径
- 2022-08-17 13:30caker丶的博客 有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含...
- 2015-11-14 12:55回答 2 已采纳 Either of this work for you.. localhost/database/ 127.0.0.1/database/ By default, it will look
- 2022-05-06 06:45003安全实验室的博客 这里写目录标题理论漏洞产生原因利用方式防御绕过方式php伪协议实战 理论 漏洞产生原因 1、include出现错误时,不会影响php代码的执行,require会中断php代码的执行 2、include有返回值,require没有返回值; 3、...
- 2021-07-28 23:29Beyond My的博客 任意文件下载漏洞 一 . 漏洞原理 任意文件下载 , 顾名思义 , 就是可以下载网站上面的任意文件. 一些网站提供文件下载的功能,但是如果对下载的文件没有做限制,直接通过绝对...download.php?path= download.php?file
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 这种微信登录授权 谁可以做啊
- ¥15 请问我该如何添加自己的数据去运行蚁群算法代码
- ¥20 用HslCommunication 连接欧姆龙 plc有时会连接失败。报异常为“未知错误”
- ¥15 网络设备配置与管理这个该怎么弄
- ¥20 机器学习能否像多层线性模型一样处理嵌套数据
- ¥20 西门子S7-Graph,S7-300,梯形图
- ¥50 用易语言http 访问不了网页
- ¥50 safari浏览器fetch提交数据后数据丢失问题
- ¥15 matlab不知道怎么改,求解答!!
- ¥15 永磁直线电机的电流环pi调不出来