3
的index.php:PHP定义安全问题?
define("included", true);
包含的页面:
if (included !== true) header('HTTP/1.1 404 Not Found');
目的的代码是直接禁止访问,但允许它,如果包括在内。我不确定这是否会带来风险。我不允许覆盖.htaccess,所以我坚持使用PHP替代方案。
任何帮助将不胜感激!
A
回答
4
一个性感办法是...
defined('included') OR exit;
也就是说,使用正确的函数(defined())查看是否定义了一个值,然后利用short circuit evaluation。另外,您可以使用现有的定义而不是专门创建一个定义,例如,引导文件可以定义类似...
define('DOCROOT', realpath(basename(__FILE__)));
...在这种情况下,你可以安全地使用DOCROOT。
你也应该保持除了你的引导任何PHP文件的文档根目录上面,然后确保你的网站是安全的从directory traversal attacks :)
1
这是好的,但我想将其更改为:
if (!defined('included')) {
header('HTTP/1.1 404 Not Found');
// actually make the request stop, since clients will not stop on 404 headers
die();
}
欢呼
0
通常您使用安装喜欢自己正在做的,但执行die或exit放弃它,而不用担心重定向。即使他们知道该文件存在,但如果您无法访问该内容,则无用。
的common.php(或你的index.php,这取决于你的设置)
<?php
define('IN_PAGE',true);
...
?>
include_file.php
<?php
defined('IN_PAGE') or die('Unallowed access'); // or header('HTTP/1.0 404 Not Found'); exit;
...
?>
1
如何只将所有不属于文件应该直接访问webserver的文档根目录之外的目录?
0
一个更简单的方法是:
<?php
@runtime_presence();
如果函数存根不集中前确定这导致了致命错误。 (标题重定向和一个漂亮的错误消息没有用作安全措施。)
相关问题
- 1. PHP安全问题
- 2. PHP安全问题?
- 3. Drupal自定义模板安全问题
- 4. 自定义安全选民问题Symfony2
- 5. PHP URL安全问题
- 6. PHP会话安全问题
- 7. PHP/MySQL安全问题
- 8. PayPal PhP api安全问题
- 9. php&.net安全问题?
- 10. PHP和AJAX安全问题
- 11. PHP SESSION安全问题
- 12. Unity3D PHP安全问题
- 13. AJAX PHP的安全问题
- 14. PHP安全信息问题
- 15. 安全问题,php/mysql
- 16. PHP - MySQL安全问题?
- 17. Ajax安全问题:jQuery ajax()+ PHP scandir()=安全问题?
- 18. WCF安全绑定问题
- 19. 安全问题
- 20. 安全问题?
- 21. 安全问题
- 22. PHP和cron的:安全问题
- 23. PHP函数 - 安全性问题?
- 24. 安全问题PHP加载iframe
- 25. 有一个安全问题,使用PHP
- 26. PHP可能存在的安全问题
- 27. PHP的ZipArchive潜在的安全问题
- 28. PHP openssl_pkcs7_ *需要文件,安全问题
- 29. CVE-2011-4885安全问题和PHP 5.2
- 30. PHP URL处理安全问题
似乎很好。唯一的建议是在if中添加`exit;`语句,因为头文件不会终止应用程序,它仍然会处理。这和常量通常是所有的大写,这将是我的其他建议:) – 2011-02-10 23:24:11
这通常表示一个不好的应用程序设计。应该避免在main中执行的代码。包括应该定义函数,所以这种解决方法是不必要的。 – mario 2011-02-10 23:27:21