风炫安全web安全学习第三十四节课 文件包含漏洞防御

风炫安全web安全学习第三十四节课 文件包含漏洞防御

文件包含防御

• 在功能设计上不要把文件包含的对应文件放到前台去操作

• 过滤各种../,https://, http://

• 配置php.ini文件
  allow_url_fopen=off

  allow_url_include=off

  magic_quotes_gpc=on

• 通过白名单策略
  topic.php,image.php

  file=topic.php

  $allow_file = [
     'topic.php',
     'image.php'
  ];
  if (in_array($_GET['file'], $allow_file)){
  
  }
  

参考：
http://blog.evalshell.com/2020/12/20/%e9%a3%8e%e7%82%ab%e5%ae%89%e5%85%a8web%e5%ae%89%e5%85%a8%e5%ad%a6%e4%b9%a0%e7%ac%ac%e4%b8%89%e5%8d%81%e5%9b%9b%e8%8a%82%e8%af%be-%e6%96%87%e4%bb%b6%e5%8c%85%e5%90%ab%e6%bc%8f%e6%b4%9e%e9%98%b2/