php后门URL的防范
更新时间:2013年11月12日 11:13:54 作者:
后门URL是指虽然无需直接调用的资源能直接通过URL访问
例如,下面WEB应用可能向登入用户显示敏感信息:
<?php
$authenticated = FALSE;
$authenticated = check_auth();
if ($authenticated)
{
include './sensitive.php';
}
?>
由于sensitive.php位于网站主目录下,用浏览器能跳过验证机制直接访问到该文件。这是由于在网站主目录下的所有文件都有一个相应的URL地址。在某些情况下,这些脚本可能执行一个重要的操作,这就增大了风险。
为了防止后门URL,你需要确认把所有包含文件保存在网站主目录以外。所有保存在网站主目录下的文件都是必须要通过URL直接访问的。
复制代码 代码如下:
<?php
$authenticated = FALSE;
$authenticated = check_auth();
if ($authenticated)
{
include './sensitive.php';
}
?>
由于sensitive.php位于网站主目录下,用浏览器能跳过验证机制直接访问到该文件。这是由于在网站主目录下的所有文件都有一个相应的URL地址。在某些情况下,这些脚本可能执行一个重要的操作,这就增大了风险。
为了防止后门URL,你需要确认把所有包含文件保存在网站主目录以外。所有保存在网站主目录下的文件都是必须要通过URL直接访问的。
相关文章
这篇文章主要介绍了php基于mcrypt的加密解密的实现方法,以实例形式分析了mcrypt加密解密的原理与具体实现方法,非常具有实用价值,需要的朋友可以参考下2014-10-10
数据访问对象(Data Access Object) 示例 ,学习php的朋友可以参考下。2011-06-06
在字符串指定位置插入一段字符串2010-02-02
这篇文章主要介绍了PHP+MySQL实现输入页码跳转到指定页面功能,结合实例形式分析了php连接mysql数据库进行数据查询及分页显示、指定页数跳转显示等相关操作技巧,需要的朋友可以参考下2018-06-06
PHP排序算法之归并排序(Merging Sort)实例详解
这篇文章主要介绍了PHP排序算法之归并排序(Merging Sort),结合实例形式详细分析了php归并排序的原理、定义、使用方法及相关操作注意事项,需要的朋友可以参考下2018-04-04
PHP知道如何比较两个数字或字符串,但多维数组的每个元素都是数组。PHP不知道如何去比较两个数组,所以需要建立一个比较它们的方法。2009-08-08
php中__destruct与register_shutdown_function执行的先后顺序问题
这篇文章主要介绍了php中__destruct与register_shutdown_function执行的先后顺序问题,需要的朋友可以参考下2014-10-10
当你在发送邮件时,你或许很想知道该邮件是否被对方已阅读,下面有段不错的代码可以实现此需求,喜欢的朋友可以参考下2013-12-12
这篇文章主要介绍了经典PHP加密解密函数Authcode()修复版代码,需要的朋友可以参考下2015-04-04
对于大多数web应用来说,数据库都是一个十分基础性的部分。如果你在使用PHP,那么你很可能也在使用MySQL—LAMP系列中举足轻重的一份子。2010-11-11
最新评论