文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
返回腾讯云官网
社区首页 >问答首页 >使用PHP的动态内容

使用PHP的动态内容
EN

Stack Overflow用户
提问于 2014-04-27 04:18:39
回答 2查看 120关注 0票数 0

我目前正在一个网站上工作,我想使用PHP动态网站加载。

现在我想到了这个..。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
if (preg_match('/^[a-z0-9]+$/', isset($_GET['site']))) {
    $general      = realpath('includes/general/' . $_GET['site'] . '.php');
    $laboratories = realpath('includes/laboratories/' . $_GET['site'] . '.php');
    $validation   = realpath('includes/validation/' . $_GET['site'] . '.php');
    $training     = realpath('includes/training/' . $_GET['site'] . '.php');
    $reagents     = realpath('includes/reagents/' . $_GET['site'] . '.php');

    if ($general) {
        include $general;
    } else if ($laboratories) {
        include $laboratories;
    } else if ($validation) {
        include $validation;
    } else if ($training) {
        include $training;
    } else if ($reagents) {
        include $reagents;
    } else {
        $default = realpath('includes/general/home.php');
        include $default;
    }
} else {
    $default = realpath('includes/general/home.php');
    include $default;
}

你觉得这个怎么样?安全吗?

dynamic
web
php
广告

有奖征集|云上CPU玩转AIGC挑战赛

参加活动赢取洛斐键盘、小米电纸书、智能音响等鹅厂周边!
EN

回答 2

Stack Overflow用户

回答已采纳

发布于 2014-04-27 05:15:41

对于$_GET['site']可以携带的每个值,只有一个文件可以包含,您可以将该映射存储在白名单中:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
$include_path    = '/path/to/includes';
$include_default = '/general/home.php';
$includes        = [
    'home' => 'general/home.php',
    // ...    
    'lab-zero' => 'laboratories/lab-zero.php',
    // ...
];

$include = $include_default;

if (isset($includes[$_GET['site']])) {
    $include = $includes[$_GET['site']];
}

$path = $include_path . $include;
$real = realpath($path);

if ($real === $path && is_readable($real)) {
    include $real;
}

然后只允许那些$_GET['site']参数,这些参数是有意义的(那些已经制定了计划的参数,那些已经在$includes数组中配置的参数)。

此外,如果白名单包含错误,则不包含该文件(realpathis_readable检查)。

正如您还可以看到的,$_GET['site']的值已被完全屏蔽,不受包含路径参数的影响。这只有在白名单中才有可能,这使得这种方法相当稳定。

最重要的是,这有效地防止了代码容易遭受的遍历攻击,因为检查中有漏洞,文件系统也很危险。

票数 0
EN

Stack Overflow用户

发布于 2014-04-28 04:32:57

为了让您的代码正常工作,我不得不做一些更改。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
            <?php               
                $include_path    = 'includes/';
                $include_default = 'general/home.php';
                $includes        = [
                    'home' => 'general/home.php',                     
                    'laboratories' => 'laboratories/laboratories.php',
                    'validation' => 'validation/validation.php',
                    'training' => 'training/training.php',
                    'reagents' => 'reagents/reagents.php',
                ];

                $include = $include_default;

                if (isset($_GET['site'])) {             
                    $include = $includes[$_GET['site']];            
                }

                $path = $include_path . $include;
                $real = realpath($path);

                if (is_readable($real)) {               
                    include $real;
                }
            ?>

这还是安全的吗

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
      if ($real === $path && is_readable($real)) {

因为它在比较两种不同的东西。

票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/23323297

复制
相关文章
基于 Redis 实现 Laravel 广播功能(中):引入 Laravel Echo 接收广播消息
laravel云数据库 Redis®socket.iosocket编程网站
上篇教程我们完成了广播系统的后端配置和事件分发,并探究了底层源码的实现,最终落地的都是通过 Redis 发布命令发布消息。
学院君
2021/01/08
3.8K0
接收广播系统
其他
New - > Other ->Broadcast Reciver 新建一个BootCompleteReceiver:
Dream城堡
2018/12/14
1.3K0
SpringBoot webSocket实现发送广播、点对点消息和Android接收
其他
这篇文章主要介绍了SpringBoot webSocket实现发送广播、点对点消息和Android接收,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
java思维导图
2018/12/05
3.9K0
注册广播接收器registerReceiver
编程算法javaandroid
从registerReceiver(BroadcastReceiver receiver,IntentFilter filter)出发
全栈程序员站长
2022/11/17
1.1K0
android广播注册方式_安卓广播接收器
android
前面分析了Android系统的广播机制,从本质来说,它是一种消息订阅/发布机制。因此,使用这种消息驱动模型的第一步便是订阅消息;而对Android应用程序来说,订阅消息其实就是注册广播接收器。
全栈程序员站长
2022/10/01
1K0
[android] 短信的广播接收者
android打包编程算法
在<activity/>节点设置屏幕朝向属性,android:screenOrientation=”landscape”
唯一Chat
2019/09/10
2.5K0
tron 接收交易和广播交易
缓存队列数据线程池智能合约
分析tron是如何接收到交易,并在接收到交易后,后续是如何处理的,交易处理细节可以看看:tron 交易处理--交易执行逻辑
潇洒
2023/10/20
4760
如何正确接收 GitHub 的消息邮件
github开源httpgithtml
我厂的开发流程通常都是基于 GitHub 的。在 GitHub 上 review 代码,也是我日常工作的重要组成部分。对我来说,在 code review 过程中最讨厌的莫过于,我在 pull request 或 commit 下面评论或 @ 人,往往石沉大海,没有回音。我事后追问当事人,他们的回复往往是 “不知道你 @ 我了呀~”。
用户8705050
2021/06/08
1.5K0
udp发送广播消息
编程算法
import socket if __name__ == '__main__': # 创建udpsocket udp_socket = socket.socket(socket.AF_INET, socket.SOCK_DGRAM) # 设置socket选项, 开启发送广播消息的功能 # 1. SOL_SOCKET:当前socket # 2. SO_BROADCAST: 广播选项 # 3. True:开启发送广播消息功能 udp_socket.set
汪凡
2019/03/01
2.7K0
[android] 代码注册广播接收者&利用广播调用服务的方法
android面向对象编程
利用广播调用服务里面的方法,间接的方式调用服务内部的方法,与现实中差不多,请媒体曝光
唯一Chat
2019/09/10
1K0
SignalR实现网页实时聊天功能
html5htmlide网站
SignalR是利用html5 sokit方式实现网页的实时性,在客户端不支持html5的情况下通过轮询实现
FreeTimeWorker
2020/08/31
2.4K0
SignalR实现网页实时聊天功能
EarthChat SignalR原理讲解
signalr服务器客户端连接原理
SignalR 是 Microsoft 开发的一个库,用于 ASP.NET 开发人员实现实时 web 功能。这意味着服务端代码可以实时地推送内容到连接的客户端,而不需要客户端定期请求或轮询服务器以获取新数据。SignalR 可以用于各种应用程序,如实时聊天、通知、实时数据更新等。
用户10786849
2023/10/13
2360
EarthChat SignalR原理讲解
Android基础总结(4)——广播接收器
android
  在Android中的每个应用程序可以对自己感兴趣的广播进行注册,这样该程序就只会接收自己所关心的广播内容,这些广播可能来自于系统的,也可能来自于其他应用程序的。Android提供了一整套完整的API,允许应用程序自由地发送和接收广播。发送广播就是借助之前了解过的Intent,接收广播则需要用到广播接收器(Broadcast Receiver)。. 1、广播的类型 标准广播:Normal broadcast,是一种完全异步执行的广播,在广播发出之后,所有的广播接收器几乎都会在同一时刻接收到这条广播消息,因
mukekeheart
2018/02/27
1.1K0
Asp.Net Core SignalR 与微信小程序交互笔记
asp.net微信小程序
Asp.Net Core SignalR 是微软开发的一套基于Asp.Net Core的与Web进行实时交互的类库,它使我们的应用能够实时的把数据推送给Web客户端。
脑洞的蜂蜜
2018/08/13
3.6K0
广播的注册、发送和接收过程
面向对象编程
1)静态注册在应用安装时由PackageManagerService来完成注册过程
用户3112896
2019/09/26
9610
基于 Redis 实现 Laravel 广播功能(下):在私有频道和存在频道发布和接收消息
laravel微信php云数据库 Redis®socket编程
在上面的示例广播事件 UserSignedUp 中,我们通过 Channel 定义了一个公共频道广播,即所有客户端都可以接收到这个事件消息:
学院君
2021/01/08
3.2K0
使用 Spring Cloud Bus 向所有微服务广播消息
spring cloud
Spring Cloud Bus 是 Spring Cloud 微服务框架中的一个组件,可以用于在微服务之间广播消息,从而实现微服务之间的协调和通信。
堕落飞鸟
2023/04/18
1.4K2
Spring Boot 中使用@KafkaListener并发批量接收消息[通俗易懂]
httpshtmlspring网络安全
kakfa是我们在项目开发中经常使用的消息中间件。由于它的写性能非常高,因此,经常会碰到读取Kafka消息队列时拥堵的情况。遇到这种情况时,有时我们不能直接清理整个topic,因为还有别的服务正在使用该topic。因此只能额外启动一个相同名称的consumer-group来加快消息消费(如果该topic只有一个分区,再启动一个新的消费者,没有作用)。
全栈程序员站长
2022/11/04
4.6K0
Spring Boot 中使用@KafkaListener并发批量接收消息[通俗易懂]
mqttnet消息推送与接收[通俗易懂]
java编程算法socket编程mqttlinux
@echo.请稍等,MqttNetServiceAddUserAndPassword服务安装启动中………… @echo off @title 安装windows服务:MqttNetServiceAddUserAndPassword @sc create MqttNetServiceAddUserAndPassword binPath=”%~dp0\MqttNetServiceAddUserAndPassword.exe” @sc config MqttNetServiceAddUserAndPassword start= auto @sc start MqttNetServiceAddUserAndPassword @echo.MqttNetServiceAddUserAndPassword启动完毕 pause
全栈程序员站长
2022/09/12
1.2K0
mqttnet消息推送与接收[通俗易懂]
点击加载更多

相似问题

SignalR如何广播消息?

12

使用SignalR广播消息的超时

11

如何使用SignalR客户端C#从集线器类接收广播消息?

11

接收广播消息

21

如何防止接收广播消息

217
添加站长 进交流群

领取专属 10元无门槛券

AI混元助手 在线答疑

扫码加入开发者社群
关注 腾讯云开发者公众号

洞察 腾讯核心技术

剖析业界实践案例

扫码关注腾讯云开发者公众号
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
查看详情【社区公告】 技术创作特训营有奖征文