以图明志

PHP服务器脚本

[专题] PHP安全编程:打开远程文件的风险

注意深度防范与过滤污染文件名
PHP有一个配置选项叫allow_url_fopen,该选项默认是有效的。它允许你指向许多类型的资源,并像本地文件一样处理。当被污染数据用于include和require的文件指向时,会产生严重漏洞。实际上,我认为这种漏洞是PHP应用中最危险的漏洞之一,这是因为它允许攻击者执行任意代码。

PHP服务器脚本

[专题] PHP安全编程:文件目录猜测漏洞

不要把污染数据参与文件名
无论你用什么方法使用文件,你都要在某个地方指定文件名。在很多情况下,文件名会作为fopen()函数的一个参数,与许多攻击的情况相同,在构造一个字串时如果使用了被污染数据,就会给攻击者以机会来更改这个字串,这样就会造成你的应用以你不希望方式运行。如果你养成了只使用已过滤数据来建立动态字串的习惯,就可以防止很多类型包括很多你所不熟悉的漏洞的出现。

PHP服务器脚本

[专题] PHP安全编程:阻止文件名被操纵

文件名与目录的操纵攻击
在很多情形下会使用动态包含,此时目录名或文件名中的部分会保存在一个变量中。例如,你可以缓存你的部分动态页来降低你的数据库服务器的负担。为了让这个漏洞更明显,示例中使用了$_GET。如果你使用了受污染数据时,这个漏洞同样存在。使用$_GET['username']是一个极端的例子,通过它可以把问题看得更清楚。

PHP服务器脚本

PHP修改文件名后缀的方法

可以修改当前目录及其子目录所以文件
有这样一个需求,改变当前目录下指定类型的文件类型。本来想要用批处理来做这个,结果没找到合适。就自己去查了下资料,用PHP来处理一下。不是很经常处理文件,所以对遍历目录还不是很熟悉,找了一下资料,自己修改一下。代码主要的目的是批量更改文件后缀。由于淘宝数据包图片类型的不同,所以要改一下适合的。
1 / 1 首页 < Prev 1 Next > 尾页 页码: