快捷導(dǎo)航

php后門(mén)URL的防范

更新時(shí)間：2013年11月12日 11:13:54 作者：

后門(mén)URL是指雖然無(wú)需直接調(diào)用的資源能直接通過(guò)URL訪問(wèn)

例如，下面WEB應(yīng)用可能向登入用戶顯示敏感信息：

<?php
$authenticated = FALSE;
$authenticated = check_auth();
if ($authenticated)
{
    include './sensitive.php';
}
?>

由于sensitive.php位于網(wǎng)站主目錄下，用瀏覽器能跳過(guò)驗(yàn)證機(jī)制直接訪問(wèn)到該文件。這是由于在網(wǎng)站主目錄下的所有文件都有一個(gè)相應(yīng)的URL地址。在某些情況下，這些腳本可能執(zhí)行一個(gè)重要的操作，這就增大了風(fēng)險(xiǎn)。
為了防止后門(mén)URL，你需要確認(rèn)把所有包含文件保存在網(wǎng)站主目錄以外。所有保存在網(wǎng)站主目錄下的文件都是必須要通過(guò)URL直接訪問(wèn)的。

您可能感興趣的文章:

相關(guān)文章

php基于mcrypt的加密解密實(shí)例
這篇文章主要介紹了php基于mcrypt的加密解密的實(shí)現(xiàn)方法,以實(shí)例形式分析了mcrypt加密解密的原理與具體實(shí)現(xiàn)方法,非常具有實(shí)用價(jià)值,需要的朋友可以參考下
2014-10-10
php設(shè)計(jì)模式 DAO(數(shù)據(jù)訪問(wèn)對(duì)象模式)
數(shù)據(jù)訪問(wèn)對(duì)象(Data Access Object) 示例，學(xué)習(xí)php的朋友可以參考下。
2011-06-06
在字符串指定位置插入一段字符串的php代碼
在字符串指定位置插入一段字符串
2010-02-02
PHP+MySQL實(shí)現(xiàn)輸入頁(yè)碼跳轉(zhuǎn)到指定頁(yè)面功能示例
這篇文章主要介紹了PHP+MySQL實(shí)現(xiàn)輸入頁(yè)碼跳轉(zhuǎn)到指定頁(yè)面功能,結(jié)合實(shí)例形式分析了php連接mysql數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)查詢及分頁(yè)顯示、指定頁(yè)數(shù)跳轉(zhuǎn)顯示等相關(guān)操作技巧,需要的朋友可以參考下
2018-06-06
PHP排序算法之歸并排序(Merging Sort)實(shí)例詳解
這篇文章主要介紹了PHP排序算法之歸并排序(Merging Sort),結(jié)合實(shí)例形式詳細(xì)分析了php歸并排序的原理、定義、使用方法及相關(guān)操作注意事項(xiàng),需要的朋友可以參考下
2018-04-04
PHP 簡(jiǎn)單數(shù)組排序?qū)崿F(xiàn)代碼
PHP知道如何比較兩個(gè)數(shù)字或字符串，但多維數(shù)組的每個(gè)元素都是數(shù)組。PHP不知道如何去比較兩個(gè)數(shù)組，所以需要建立一個(gè)比較它們的方法。
2009-08-08
php中__destruct與register_shutdown_function執(zhí)行的先后順序問(wèn)題
這篇文章主要介紹了php中__destruct與register_shutdown_function執(zhí)行的先后順序問(wèn)題,需要的朋友可以參考下
2014-10-10
php實(shí)現(xiàn)查看郵件是否已被閱讀的方法
當(dāng)你在發(fā)送郵件時(shí)，你或許很想知道該郵件是否被對(duì)方已閱讀，下面有段不錯(cuò)的代碼可以實(shí)現(xiàn)此需求，喜歡的朋友可以參考下
2013-12-12
經(jīng)典PHP加密解密函數(shù)Authcode()修復(fù)版代碼
這篇文章主要介紹了經(jīng)典PHP加密解密函數(shù)Authcode()修復(fù)版代碼,需要的朋友可以參考下
2015-04-04
PHP程序員最常犯的11個(gè)MySQL錯(cuò)誤小結(jié)
對(duì)于大多數(shù)web應(yīng)用來(lái)說(shuō)，數(shù)據(jù)庫(kù)都是一個(gè)十分基礎(chǔ)性的部分。如果你在使用PHP，那么你很可能也在使用MySQL—LAMP系列中舉足輕重的一份子。
2010-11-11