0
我发现了一个难题,我的网站可以通过传递一个查询字符串参数,该参数有很多../s来访问网站目录之外的文件,并且然后破解网站。防止访问PHP中某个目录以外的文件
有没有办法,也许通过php.ini,不允许文件包含在某个根目录之外?
更糟的是,服务器上运行的大部分内容都不是我的代码。该网站在CMS Joomla上运行!并通过购买的插件完成漏洞利用。
我无法更改脚本,如果必须这样做,我只会卸载受影响的插件。
A
回答
1
是的,PHP具有一个名为open_basedir的配置参数。
(不要忘记添加到它至少session_save_path目录)
但是!无论如何你必须检查每个传入的参数!
如果它应该只是一个文件名,则使用basename()函数截断它。 如果它应该是一个目录,你可以用这样的代码检查它
$basedir = "/your/app/path/";
$realdir = realpath($basedir.$filename); //$filename is the parameter we checking
if (substr($realdir,0,strlen($basedir)) !== $basedir) {
header ("HTTP/1.0 403 Forbidden");
exit;
}
相关问题
- 1. .htaccess防止除一个目录以外的访问
- 2. 防止访问给定工作目录之外的文件
- 3. 防止PHP访问的,并包括文件的父目录
- 4. 防止访问某个文件夹中的文件
- 5. 防止目录访问
- 6. 防止使用.htaccess访问php文件(文件夹)XMLHttpRequest除外
- 7. 访问根目录以外的文件与苗条和PHP
- 8. 如何防止访问php文件
- 9. 防止直接访问php文件
- 10. 防止用户访问目录
- 11. 如何停止直接访问目录中的文件php
- 12. 防止访问Web服务器中的某些文件 - mercurial/ssh
- 13. 如何防止从某个文件夹访问?
- 14. 防止未登录的成员访问某个页面
- 15. 在Anaconda以外的目录中访问文件
- 16. 防止外部访问,mongodb
- 17. 禁止某些机器人使用htaccess访问某个目录
- 18. 使用Apache访问文档根目录以外的文件
- 19. 防止直接访问Wordpress插件中的php文件
- 20. 阻止访问PHP的文件夹以外htaccess的
- 21. 如何防止目录访问和显示禁止在php中的错误
- 22. 如何捕捉文件或目录中的某个目录php
- 23. .htaccess文件。我可以阻止对目录的访问而不阻止访问其中的文件吗?
- 24. 如何停止网站目录以外的文件从iis7网站访问
- 25. 防止某些目录中的某些文件类型被盗链
- 26. 防止直接访问PHP
- 27. 禁止访问文件外
- 28. 可以将Hudson配置为防止某些用户访问某些项目?
- 29. php只允许访问某个文件?
- 30. 阻止访问PHP中的某些.mp3文件