မြန်မာဘာသာ
မြန်မာဘာသာ
ကွန်ရက်လုံခြုံရေးခြိမ်းခြောက်မှုများဆက်လက်မြင့်တက်လာသည်နှင့်အမျှ PHP Remote File ပါ 0 င်မှုအားနည်းချက်များသည် developer များအတွက်အဓိကစိန်ခေါ်မှုဖြစ်လာသည်။ ဟက်ကာများသည်ဤအားနည်းချက်ကို အသုံးပြု. အန္တရာယ်ရှိသောစစ်ဆင်ရေးများကိုလုပ်ဆောင်ရန်, ဝက်ဘ်ဆိုက်၏လုံခြုံရေးကိုအန္တရာယ်ပြုရန်ဖြစ်သည်။ ဤဆောင်းပါးသည်ထိုကဲ့သို့သောတိုက်ခိုက်မှုများကိုကာကွယ်ရန် PHP ဝေးလံခေါင်ဖျားဖိုင်များကိုမည်သို့ထိရောက်စွာဖြေရှင်းနိုင်ပုံကိုအသေးစိတ်မိတ်ဆက်ပေးပါမည်။
PHP ဝေးလံသောဖိုင်များတွင်ပုံမှန်အားဖြင့်တက်ကြွသောဝက်ဘ်စာမျက်နှာများတွင်များသောအားဖြင့်အားနည်းသောအားနည်းချက်များပါဝင်သည်။ PHP ၏ဖိုင် ( ဥပမာ သို့မဟုတ် လိုအပ်ခြင်း ကဲ့သို့သော) functions များပါ 0 င်သည့် function များပါ 0 င်သည့်အတွက်အသုံးပြုသူ input ကိုအပြည့်အဝစစ်ဆေးပြီး filter လုပ်ပါ။
အလွယ်ကူဆုံးနှင့်ထိရောက်သောပြင်ဆင်မှုမှာဝေးလံခေါင်ဖျားသောဖိုင်ထည့်သွင်းမှုကိုပိတ်ထားရန်ဖြစ်သည်။ PHP မှ PHP configuration file ( PHP.INI ) တွင် php configuration file (PHP.INI) တွင် ခွင့်ပြု ပါ။
နမူနာကုဒ်:
<?php
ini_set("allow_url_include", "0");
// code goes here
?>
ဖိုင်များမပါ 0 င်မီအသုံးပြုသူ input ကိုမှန်ကန်စွာ filter လုပ်ရန်နှင့်အတည်ပြုရန်အလွန်အရေးကြီးသည်။ အသုံးပြုသူမှ 0 င်ရောက်သော URL ကိုသေချာစေရန် us use ကိုစစ်ဆေးရန် filter_var function ကိုသုံးနိုင်သည်။ URL သည်လိုအပ်ချက်များနှင့်ကိုက်ညီပါကဖိုင်များပါဝင်မှုကိုသာခွင့်ပြုသည်။
နမူနာကုဒ်:
<?php
$url = $_GET['file'];
$allowed_extensions = array("php", "html", "txt");
<p>// စစ်ဆေးကြည့်ရှုURL၎င်းသည် local file လမ်းကြောင်းလား။<br>
if (filter_var($url, FILTER_VALIDATE_URL) === false || !in_array(pathinfo($url, PATHINFO_EXTENSION), $allowed_extensions)) {<br>
echo "Invalid file URL";<br>
exit;<br>
}</p>
<p>// ဒေသခံဖိုင်များပါရှိသည်<br>
include $url;<br>
?><br>
Whitelists များကိုအသုံးပြုခြင်းအားဖြင့်သတ်မှတ်ထားသောဖိုင်များကိုသာခွင့်ပြုထားသည်, ဝေးလံခေါင်သီသောပါ 0 င်မှုဆိုင်ရာသက်ရောက်မှုအားနည်းချက်များဖြစ်ပေါ်ခြင်းကိုထိရောက်စွာရှောင်ရှားနိုင်သည်။ ဟက်ကာတစ် ဦး သည်အန္တရာယ်ရှိသောဖိုင်လမ်းကြောင်းများကိုအောင်မြင်စွာထိုးသွင်းလျှင်ပင်ဤနည်းကိုတိုက်ခိုက်ရန်မဖြစ်နိုင်ပါ။
နမူနာကုဒ်:
<?php
$file = $_GET['file'];
$allowed_files = array("header.php", "footer.php", "config.php");
<p>// စစ်ဆေးကြည့်ရှု文件是否在白名单中<br>
if (!in_array($file, $allowed_files)) {<br>
echo "Invalid file";<br>
exit;<br>
}</p>
<p>// ဖိုင်များပါဝင်သည်<br>
include $file;<br>
?><br>
မရည်ရွယ်ဘဲဖိုင်များအပါအ 0 င်ရှောင်ရှားရန်ဆွေမျိုးလမ်းကြောင်းအစားအကြွင်းမဲ့လမ်းကြောင်းများကိုအသုံးပြုရန်အကောင်းဆုံးဖြစ်သည်။ ဤသည်သည်သတ်မှတ်ထားသောလမ်းညွှန်တွင်ဖိုင်များသာလျှင်အလားအလာရှိသောလုံခြုံရေးအန္တရာယ်များကိုလျှော့ချရန်,
နမူနာကုဒ်:
<?php
$file = $_GET['file'];
$base_path = "/var/www/html/includes/";
<p>// ပကတိလမ်းကြောင်း splicing<br>
$file_path = $base_path . $file;</p>
<p>// ပကတိလမ်းကြောင်းများပါ 0 င်သည့်ဖိုင်<br>
include $file_path;<br>
?><br>
အထက်ဖော်ပြပါအချက်များမှာ PHP ဝေးလံခေါင်ဖျားဖိုင်များတွင်အားနည်းချက်များအတွက်ပုံမှန်နည်းလမ်းများစွာရှိသည်။ အသုံးပြုသူ input, whitelist ကန့်သတ်ချက်များနှင့်ပကတိလမ်းကြောင်းများကိုအသုံးပြုခြင်းအပါအ 0 င်ဝေးလံခေါင်သီသောဖိုင်များကိုတားမြစ်ခြင်းအားဖြင့်ဝေးလံခေါင်သီသောကုဒ်ကွပ်မျက်မှုအန္တရာယ်ကိုများစွာလျှော့ချနိုင်သည်။ ထို့အပြင် developer များသည် PHP version ကိုအချိန်မီမွမ်းမံသင့်သည်, လုံခြုံသော coding ၏အကောင်းဆုံးအလေ့အကျင့်များကိုလိုက်နာပြီး 0 ဘ်ဆိုဒ်၏လုံခြုံရေးကိုစဉ်ဆက်မပြတ်လိုက်နာပါ။
