风炫安全web安全学习第三十四节课 文件包含漏洞防御

时间:2022-05-19 09:51:19

风炫安全web安全学习第三十四节课 文件包含漏洞防御

文件包含防御

  • 在功能设计上不要把文件包含的对应文件放到前台去操作

  • 过滤各种../,https://, http://

  • 配置php.ini文件

    allow_url_fopen=off

    allow_url_include=off

    magic_quotes_gpc=on

  • 通过白名单策略

    topic.php,image.php

    file=topic.php

    $allow_file = [
    'topic.php',
    'image.php'
    ];
    if (in_array($_GET['file'], $allow_file)){ }

参考:

http://blog.evalshell.com/2020/12/20/风炫安全web安全学习第三十四节课-文件包含漏洞防/