首页   技术笔记   网址导航   Json在线解析   二维码   Ip地址查询   在线流程图  
新用户注册 | 会员登录
当前位置:  开发笔记 > 编程语言 > 正文

动态包括安全性

作者:手机用户2402851335 | 2023-08-30 20:44
如何解决《动态包括安全性》经验,为你挑选了1个好方法。

有没有办法安全地包含页面而不将它们全部放在一个数组中?

if (preg_match('/^[a-z0-9]+/', $_GET['page'])) {

$page = $_GET['page'].".php";
$tpl = $_GET['page'].".html";
if (file_exists($page)) include($page);
if (file_exists($tpl)) include($tpl);

}

我应该添加什么才能使它非常安全?

我这样做是因为我不喜欢必须包含必须包含在所有页面中的内容."包含标题>内容>包含页脚"-way.我也不想使用任何模板引擎/框架.

谢谢.



1> Gumbo..:

您当前实施的弱点是......

    正则表达式只是测试字符串的开头,所以" images/../../secret"会传递,并且

    没有进一步验证," index"也将是一个有效的值,并会导致递归.

为了使您的实现安全,最好将所有要包含的内容放在其自己的目录中(例如" includes"和" templates").基于此,您只需确保没有办法退出此目录.

if (preg_match('/^[a-z0-9]+$/', $_GET['page'])) {
    $page = realpath('includes/'.$_GET['page'].'.php');
    $tpl = realpath('templates/'.$_GET['page'].'.html');
    if ($page && $tpl) {
        include $page;
        include $tpl;
    } else {
        // log error!
    }
} else {
    // log error!
}

注意:realpath如果文件存在,false则返回给定相对路径的绝对路径.所以file_exists没有必要.

推荐阅读
devbox
手机用户2402851335
这个屌丝很懒,什么也没留下!
关注作者
Tags | 热门标签
RankList | 热门文章
DevBox开发工具箱 | 专业的在线开发工具网站    京公网安备 11010802040832号  |  京ICP备19059560号-6
Copyright © 1998 - 2020 DevBox.CN. All Rights Reserved devBox.cn 开发工具箱 版权所有