快捷導(dǎo)航

php后門URL的防范

更新時間：2013年11月12日 11:13:54 作者：

后門URL是指雖然無需直接調(diào)用的資源能直接通過URL訪問

例如，下面WEB應(yīng)用可能向登入用戶顯示敏感信息：

<?php
$authenticated = FALSE;
$authenticated = check_auth();
if ($authenticated)
{
    include './sensitive.php';
}
?>

由于sensitive.php位于網(wǎng)站主目錄下，用瀏覽器能跳過驗證機制直接訪問到該文件。這是由于在網(wǎng)站主目錄下的所有文件都有一個相應(yīng)的URL地址。在某些情況下，這些腳本可能執(zhí)行一個重要的操作，這就增大了風(fēng)險。
為了防止后門URL，你需要確認把所有包含文件保存在網(wǎng)站主目錄以外。所有保存在網(wǎng)站主目錄下的文件都是必須要通過URL直接訪問的。

您可能感興趣的文章:

php
后門

相關(guān)文章

php基于mcrypt的加密解密實例
這篇文章主要介紹了php基于mcrypt的加密解密的實現(xiàn)方法,以實例形式分析了mcrypt加密解密的原理與具體實現(xiàn)方法,非常具有實用價值,需要的朋友可以參考下
2014-10-10
php設(shè)計模式 DAO(數(shù)據(jù)訪問對象模式)
數(shù)據(jù)訪問對象(Data Access Object) 示例，學(xué)習(xí)php的朋友可以參考下。
2011-06-06
在字符串指定位置插入一段字符串的php代碼
在字符串指定位置插入一段字符串
2010-02-02
PHP+MySQL實現(xiàn)輸入頁碼跳轉(zhuǎn)到指定頁面功能示例
這篇文章主要介紹了PHP+MySQL實現(xiàn)輸入頁碼跳轉(zhuǎn)到指定頁面功能,結(jié)合實例形式分析了php連接mysql數(shù)據(jù)庫進行數(shù)據(jù)查詢及分頁顯示、指定頁數(shù)跳轉(zhuǎn)顯示等相關(guān)操作技巧,需要的朋友可以參考下
2018-06-06
PHP排序算法之歸并排序(Merging Sort)實例詳解
這篇文章主要介紹了PHP排序算法之歸并排序(Merging Sort),結(jié)合實例形式詳細分析了php歸并排序的原理、定義、使用方法及相關(guān)操作注意事項,需要的朋友可以參考下
2018-04-04
PHP 簡單數(shù)組排序?qū)崿F(xiàn)代碼
PHP知道如何比較兩個數(shù)字或字符串，但多維數(shù)組的每個元素都是數(shù)組。PHP不知道如何去比較兩個數(shù)組，所以需要建立一個比較它們的方法。
2009-08-08
php中__destruct與register_shutdown_function執(zhí)行的先后順序問題
這篇文章主要介紹了php中__destruct與register_shutdown_function執(zhí)行的先后順序問題,需要的朋友可以參考下
2014-10-10
php實現(xiàn)查看郵件是否已被閱讀的方法
當(dāng)你在發(fā)送郵件時，你或許很想知道該郵件是否被對方已閱讀，下面有段不錯的代碼可以實現(xiàn)此需求，喜歡的朋友可以參考下
2013-12-12
經(jīng)典PHP加密解密函數(shù)Authcode()修復(fù)版代碼
這篇文章主要介紹了經(jīng)典PHP加密解密函數(shù)Authcode()修復(fù)版代碼,需要的朋友可以參考下
2015-04-04
PHP程序員最常犯的11個MySQL錯誤小結(jié)
對于大多數(shù)web應(yīng)用來說，數(shù)據(jù)庫都是一個十分基礎(chǔ)性的部分。如果你在使用PHP，那么你很可能也在使用MySQL—LAMP系列中舉足輕重的一份子。
2010-11-11