包含漏洞文件类型白名单验证及判断后缀的解决办法

发布时间：2020-07-10 09:58:56 阅读：3414 作者：serverxx0 栏目：安全技术

开发者测试专用服务器限时活动，0元免费领，库存有限，领完即止！点击查看>>

allow_url_include=Off (不考虑远程包含)

if ( isset( $include_file ) && strtolower( substr( $include_file, -4 ) ) == ".php" )
        {
                include_once( $include_file );
        }

-----------------------------------------------------

要求php>=5.3

把php打包成zip，改名上传，比如名为info.zip.jpg
然后用phar流包装器包含，其中info.zip.jpg为zip文件名，info.php为zip压缩包内子文件名

测试代码:

echo "ini_get(allow_url_include):".ini_get("allow_url_include")."";
$include_file=$_GET['a'];
if ( isset( $include_file ) && strtolower( substr( $include_file, -4 ) ) == ".php" )
{
    include_once( $include_file );
}
else
{
    echo "file err";
}

包含漏洞文件类型白名单验证及判断后缀的解决办法

亿速云「云服务器」，即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘，价格低至29元/月。点击查看>>

向AI问一下细节

包含漏洞 文件类型白名单验证及判断后缀的解决办法

猜你喜欢

最新资讯

相关推荐

开发者交流群：

相关标签

包含漏洞文件类型白名单验证及判断后缀的解决办法