php后门URL的防范

yipeiwu_com6年前PHP代码库
例如,下面WEB应用可能向登入用户显示敏感信息:
复制代码 代码如下:

<?php
$authenticated = FALSE;
$authenticated = check_auth();
if ($authenticated)
{
    include './sensitive.php';
}
?>

由于sensitive.php位于网站主目录下,用浏览器能跳过验证机制直接访问到该文件。这是由于在网站主目录下的所有文件都有一个相应的URL地址。在某些情况下,这些脚本可能执行一个重要的操作,这就增大了风险。
为了防止后门URL,你需要确认把所有包含文件保存在网站主目录以外。所有保存在网站主目录下的文件都是必须要通过URL直接访问的。

相关文章

PHP中全面阻止SQL注入式攻击分析小结

一、 引言   PHP是一种力量强大但相当容易学习的服务器端脚本语言,即使是经验不多的程序员也能够使用它来创建复杂的动态的web站点。然而,它在实现因特网服务的秘密和安全方面却常常存在许...

PHP学习笔记(一) 简单了解PHP

PHP学习笔记(一) 简单了解PHP

目标规划: 通过第一节课,我们可以了解php环境. 1.环境的认识: 2.访问方法: 3.修改代码及查看. 4.变量的使用 5.代码缩进要有层次关系,而且代码之间最好保留空行 6.变量命...

PHP异常Parse error: syntax error, unexpected T_VAR错误解决方法

其实,这是一个非常容易解决掉的问题。在我看来,似曾相识,呵呵,最近学JavaScript可是学会了使用var声明变量。 其实,在PHP中根本不需要使用var声明的,但是当一个变量作为一个...

JavaScript创建命名空间的5种写法

在JavaScript中全局变量经常会引起命名冲突,甚至有时侯重写变量也不是按照你想像中的顺序来的,可以看看下面的例子: 复制代码 代码如下: var sayHello = functi...

PHP配置文件中最常用四个ini函数

php的配置函数就是几个ini_*的函数,主要是针对配置文件的操作,其实就四个函数:ini_get、ini_set、ini_get_all、ini_restore。个人感觉最有用的就是i...