Deutsch
Deutsch
Da die Bedrohung durch Netzwerksicherheit weiter eskaliert, sind Schwachstellen der PHP -Ferndateien für Entwickler zu einer großen Herausforderung geworden. Hacker können diese Anfälligkeit nutzen, um böswillige Operationen auszuführen und die Sicherheit der Website zu gefährden. In diesem Artikel wird ausführlich vorgestellt, wie die Einschlussschwachstellen von PHP -Remote -Dateien effektiv behoben werden können, um solche Angriffe zu verhindern.
PHP -Remote -Dateien enthalten Schwachstellen, die normalerweise auf dynamischen Webseiten angezeigt werden. Wenn die Datei von PHP mit Funktionen (z. B. einbezogen oder verlangt ) nicht vollständig überprüfen und die Benutzereingaben filtern, können Hacker einen böswilligen Code ausführen, indem die URL so geändert wird, dass böswillige Remote -Dateien einbezogen werden, wodurch die Website angegriffen wird.
Die einfachste und effektivste Lösung besteht darin, die Einbeziehung der Remotedatei zu deaktivieren. Stellen Sie einfach in der PHP -Konfigurationsdatei ( php.ini ) degly_url_include auf 0 fest, um zu verhindern, dass PHP Remote -Dateien analysiert.
Beispielcode:
<?php
ini_set("allow_url_include", "0");
// code goes here
?>
Vor der Einbeziehung von Dateien ist es entscheidend, die Benutzereingabe strikt zu filtern und zu überprüfen. Sie können die Funktion filter_var verwenden, um die vom Benutzer eingegebene URL zu überprüfen, um sicherzustellen, dass es sich um einen legalen lokalen Pfad handelt. Die Einbeziehung von Dateien ist nur zulässig, wenn die URL die Anforderungen erfüllt.
Beispielcode:
<?php
$url = $_GET['file'];
$allowed_extensions = array("php", "html", "txt");
<p>// prüfenURLIst es ein lokaler Dateipfad?<br>
if (filter_var($url, FILTER_VALIDATE_URL) === false || !in_array(pathinfo($url, PATHINFO_EXTENSION), $allowed_extensions)) {<br>
echo "Invalid file URL";<br>
exit;<br>
}</p>
<p>// Enthält lokale Dateien<br>
include $url;<br>
?><br>
Durch die Verwendung von Whitelisten dürfen nur die angegebenen Dateien einbezogen werden, und das Auftreten von Schwachstellen der Remotedateieinschluss kann effektiv vermieden werden. Selbst wenn ein Hacker erfolgreich bösartige Dateipfade injiziert, ist es unmöglich, diese Weise anzugreifen.
Beispielcode:
<?php
$file = $_GET['file'];
$allowed_files = array("header.php", "footer.php", "config.php");
<p>// prüfen文件是否在白名单中<br>
if (!in_array($file, $allowed_files)) {<br>
echo "Invalid file";<br>
exit;<br>
}</p>
<p>// Dateien eingeben<br>
include $file;<br>
?><br>
Um nicht beabsichtigte Dateien einzubeziehen, verwenden Sie am besten absolute Pfade anstelle von relativen Pfaden. Dies stellt sicher, dass nur Dateien im angegebenen Verzeichnis enthalten sind, was die potenziellen Sicherheitsrisiken verringert.
Beispielcode:
<?php
$file = $_GET['file'];
$base_path = "/var/www/html/includes/";
<p>// Absolute Pfad spleißen<br>
$file_path = $base_path . $file;</p>
<p>// Datei mit absoluten Pfaden enthält<br>
include $file_path;<br>
?><br>
Die oben genannten sind mehrere gängige Methoden zur Behebung von Schwachstellen in PHP -Remote -Dateien. Durch das Verbot von Remotedateien, das Einschließen von Benutzereingaben, die Einschränkungen der Whitelist und die Verwendung absoluter Pfade kann das Risiko der Ausführung von Remote -Code stark reduziert werden. Darüber hinaus sollten Entwickler die PHP -Version rechtzeitig aktualisieren, den besten Verfahren der sicheren Codierung befolgen und die Sicherheit der Website kontinuierlich verbessern.
