前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >如何安全的Include文件

如何安全的Include文件

作者头像
LA0WAN9
发布2021-12-14 08:18:46
4440
发布2021-12-14 08:18:46
举报
文章被收录于专栏:火丁笔记

似乎多数人都觉得Include文件是一件非常简单的事情,可惜漏洞往往出现在我们忽视的地方。正所谓千里之堤溃于蚁穴,二战期间,法国人寄希望与马奇诺防线,却忽视了原本认为非常安全的阿登高地,让德国人有机可乘,最终的结果大家都知道了。

下面这个例子虽然是我杜撰的,但是我确信现实情况里一定存在类似的问题:

代码语言:javascript
复制
<?php

$debug = false;

// ...

$config = include 'config.php';

// ...

if ($debug) {
    phpinfo();
}

?>

码农在代码中埋了一个调试开关,缺省是关闭状态,必要的时候可以开启,以便显示一些特殊的信息,同时代码里包含了一个配置文件,它的内容大致如下所示:

代码语言:javascript
复制
<?php

return array(
    'foo' => '...',
    'bar' => '...',
);

?>

突然有一天,码农因为一些其它的缘由修改了配置文件,引入了一些临时变量:

代码语言:javascript
复制
<?php

$debug = true;

$config = array(
    'foo' => '...',
    'bar' => '...',
);

/*
if ($debug) {
    var_dump($config);
}
*/

return $config;

?>

结果问题产生了!配置文件里的临时变量(debug)污染了其它脚本的变量空间,进而导致代码执行的结果不再符合预期,最终问题也就在所难免了。

如何安全的Include文件?很简单,在Include的时候注意限制变量的作用域即可:

代码语言:javascript
复制
<?php

$config = call_user_func(function() {
    return include 'config.php';
});

?>

类似的做法在Javascript中很常见,但在PHP中却鲜有人注意,你的代码有问题么?

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2014-02-25,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档