文件名操纵介绍
程序员文章站
2022-05-27 22:02:17
...
文件名操纵
在很多情形下会使用动态包含,此时目录名或文件名中的部分会保存在一个变量中。例如,你可以缓存你的部分动态页来降低你的数据库服务器的负担。 <?php
include "/cache/{$_GET['username']}.html";
?>
为了让这个漏洞更明显,示例中使用了$_GET。如果你使用了受污染数据时,这个漏洞同样存在。使用$_GET['username']是一个极端的例子,通过它可以把问题看得更清楚。
虽然上面的流程有其优点,但它同时为攻击者提供了一个可以*选择缓存页的良机。例如,一个用户可以方便地通过编辑URL中的username的值
1. PHP安全-文件名操纵
简介:文件名操纵 在很多情形下会使用动态包含,此时目录名或文件名中的部分会保存在一个变量中。例如,你可以缓存你的部分动态页来降低你的数据库服务器的负担。 ...
【相关问答推荐】:
以上就是文件名操纵介绍的详细内容,更多请关注其它相关文章!
下一篇: PHP程序开发中的中文编码问题