php后门URL的防范

yipeiwu_com6年前PHP代码库
例如,下面WEB应用可能向登入用户显示敏感信息:
复制代码 代码如下:

<?php
$authenticated = FALSE;
$authenticated = check_auth();
if ($authenticated)
{
    include './sensitive.php';
}
?>

由于sensitive.php位于网站主目录下,用浏览器能跳过验证机制直接访问到该文件。这是由于在网站主目录下的所有文件都有一个相应的URL地址。在某些情况下,这些脚本可能执行一个重要的操作,这就增大了风险。
为了防止后门URL,你需要确认把所有包含文件保存在网站主目录以外。所有保存在网站主目录下的文件都是必须要通过URL直接访问的。

相关文章

php实现网站顶踩功能的完整前端代码

许多网站都支持顶、踩功能,以便于显示用户对当前网页内容的满意度反馈。下面我们给出本站使用的顶、踩功能的完整前台实现代码,以便于用户参考。 完整的前端代码包括html、css、js各部分的...

web站点获取用户IP的安全方法 HTTP_X_FORWARDED_FOR检验

安全过滤后的getIP函数 复制代码 代码如下:  function getIP() { $realip = ''; //设置默认值 if (isset($...

PHP 字符串加密函数(在指定时间内加密还原字符串,超时无法还原)

这样我们就可以拿此函数来做很多用途了,比如:单点登录的token加密传输啦,临时密码啦等等复制代码 代码如下: /** * @param string $string 原文或者密文 *...

数据库中排序的对比及使用条件详解

假定MySQL服务器和PHP服务器都已经按照最适合的方式来配置,那么系统的可伸缩性(Scalability)和用户感知性能(User-perceived Performance)是我们追...

如何使用Linux的Crontab定时执行PHP脚本的方法

下面介绍Crontab的两种方法。 一、在Crontab中使用PHP执行脚本 就像在Crontab中调用普通的shell脚本一样(具体Crontab用法),使用PHP程序来调用PHP脚本...