PHP安全编程:留心后门URL
来源:互联网 发布:java用数组输出各类 编辑:程序博客网 时间:2024/06/05 14:43
后门URL是指虽然无需直接调用的资源能直接通过URL访问。例如,下面WEB应用可能向登入用户显示敏感信息:
由于sensitive.php位于网站主目录下,用浏览器能跳过验证机制直接访问到该文件。这是由于在网站主目录下的所有文件都有一个相应的URL地址。在某些情况下,这些脚本可能执行一个重要的操作,这就增大了风险。
为了防止后门URL,你需要确认把所有包含文件保存在网站主目录以外。所有保存在网站主目录下的文件都是必须要通过URL直接访问的。
- <?php
- $authenticated = FALSE;
- $authenticated = check_auth();
- /* ... */
- if ($authenticated)
- {
- include './sensitive.php';
- }
- ?>
由于sensitive.php位于网站主目录下,用浏览器能跳过验证机制直接访问到该文件。这是由于在网站主目录下的所有文件都有一个相应的URL地址。在某些情况下,这些脚本可能执行一个重要的操作,这就增大了风险。
为了防止后门URL,你需要确认把所有包含文件保存在网站主目录以外。所有保存在网站主目录下的文件都是必须要通过URL直接访问的。
阅读全文
0 0
- PHP安全编程之留心后门URL
- PHP安全编程:留心后门URL
- PHP安全编程之从URL的语义进行攻击
- PHP安全编程:从URL的语义进行攻击
- php编程安全指南
- PHP 安全编程建议
- php编程安全指南
- php编程安全指南
- php编程安全指南
- PHP 安全编程建议
- PHP 安全编程建议
- PHP 安全编程建议
- php编程安全指南
- php编程安全指南
- PHP安全编程
- php安全新闻早八点-高级持续渗透-第二季关于后门补充一
- php安全新闻早八点-高级持续渗透-第三季关于后门补充二
- PHP安全编程:表单与数据安全
- android 中如何扩大按钮的可点击范围
- 使用keepalived实现双机热备
- JDK Dfile.encoding=UTF-8 乱码
- gdoi2017总结
- robotframework封装ssh关键字用于远程控制和文件传输
- PHP安全编程:留心后门URL
- 【Mysql】日期差函数,Mysql选择两个日期字段相差大于或小于一定时间
- confluence
- centos 7 gerrit安装配置
- PHP安全编程:阻止文件名被操纵
- 详细图解如何注册 Navicat for Mysql 11.0.17 企业版(Win7 64bit)
- ueditor自动提交表单问题
- 第四讲_怎样在面板中画东西
- Phone和Bluetooth交互功能介绍