溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

php打開遠(yuǎn)程文件的方法

發(fā)布時(shí)間:2021-07-24 13:58:08 來(lái)源:億速云 閱讀:194 作者:chen 欄目:開發(fā)技術(shù)

本篇內(nèi)容介紹了“php打開遠(yuǎn)程文件的方法”的有關(guān)知識(shí),在實(shí)際案例的操作過程中,不少人都會(huì)遇到這樣的困境,接下來(lái)就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧!希望大家仔細(xì)閱讀,能夠?qū)W有所成!

PHP有一個(gè)配置選項(xiàng)叫allow_url_fopen,該選項(xiàng)默認(rèn)是有效的。它允許你指向許多類型的資源,并像本地文件一樣處理。例如,通過讀取URL你可以取得某一個(gè)頁(yè)面的內(nèi)容(HTML),看下面的代碼

復(fù)制代碼 代碼如下:


<?php
$contents = file_get_contents('https://www.jb51.net/');
?>


當(dāng)被污染數(shù)據(jù)用于include和require的文件指向時(shí),會(huì)產(chǎn)生嚴(yán)重漏洞。實(shí)際上,我認(rèn)為這種漏洞是PHP應(yīng)用中最危險(xiǎn)的漏洞之一,這是因?yàn)樗试S攻擊者執(zhí)行任意代碼。盡管嚴(yán)重性在級(jí)別上要差一點(diǎn),但在一個(gè)標(biāo)準(zhǔn)文件系統(tǒng)函數(shù)中使用了被污染數(shù)據(jù)的話,會(huì)有類似的漏洞產(chǎn)生:

復(fù)制代碼 代碼如下:


<?php
$contents = file_get_contents($_GET['filename']);
?>


該例使用戶能操縱file_get_contents( )的行為,以使它獲取遠(yuǎn)程資源的內(nèi)容??紤]一下類似下面的請(qǐng)求:
http://example.org/file.php?file ... mple.org%2Fxss.html
這就導(dǎo)致了$content的值被污染的情形,由于這個(gè)值是通過間接方式得到的,因此很可能會(huì)忽視這個(gè)事實(shí)。這也是深度防范原則會(huì)視文件系統(tǒng)為遠(yuǎn)程的數(shù)據(jù)源,同時(shí)會(huì)視$content的值為輸入,這樣你的過濾機(jī)制會(huì)潛在的起到扭轉(zhuǎn)乾坤的作用。
由于$content值是被污染的,它可能導(dǎo)致多種安全漏洞,包括跨站腳本漏洞和SQL注入漏洞。例如,下面是跨站腳本漏洞的示例:

復(fù)制代碼 代碼如下:


<?php
$contents = file_get_contents($_GET['filename']);
echo $contents;
?>


解決方案是永遠(yuǎn)不要用被污染的數(shù)據(jù)去指向一個(gè)文件名。要堅(jiān)持過濾輸入,同時(shí)確信在數(shù)據(jù)指向一個(gè)文件名之前被過濾即可:

復(fù)制代碼 代碼如下:


<?php
$clean = array();
/* Filter Input ($_GET['filename']) */
$contents = file_get_contents($clean['filename']);
?>


盡管無(wú)法保證$content中的數(shù)據(jù)完全沒有問題,但這還是給出了一個(gè)合理的保證,即你讀取的文件正是你想要讀取的文件,而不是由攻擊者指定的。為加強(qiáng)這個(gè)流程的安全性,你同樣需要把$content看成是輸入,并在使用前對(duì)它進(jìn)行過濾。

復(fù)制代碼 代碼如下:


<?php
$clean = array();
$html = array();
/* Filter Input ($_GET['filename']) */
$contents = file_get_contents($clean['filename']);
/* Filter Input ($contents) */
$html['contents'] = htmlentities($clean['contents'], ENT_QUOTES, 'UTF-8');
echo $html['contents'];
?>


上面的流程提供了防范多種攻擊的強(qiáng)有力的方法,同時(shí)在實(shí)際編程中推薦使用。

“php打開遠(yuǎn)程文件的方法”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注億速云網(wǎng)站,小編將為大家輸出更多高質(zhì)量的實(shí)用文章!

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

php
AI