欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  后端开发

php函数伪静态、MVC单一入口与文件下传安全漏洞

程序员文章站 2022-04-10 12:23:42
...
php函数伪静态、MVC单一入口与文件上传安全漏洞

php的函数伪静态也是这样做出来的。
以下是函数伪静态所用的函数:

?

function MakeUrl($arr){          foreach($arr as $key=>$value){                  $url[]=$key."_".$value;          }          $tmpurl=implode("_",$url);          return $tmpurl.".htm"; } function ParseUrl(){     if($_SERVER['PATH_INFO']!=""){          $pathinfo=substr($_SERVER['PATH_INFO'],1);          $pathinfo=str_replace(".htm","",$pathinfo);          $path=explode("_",$pathinfo);          $count=count($path);          for($i=0;$i2,'page'=>1)); 以上两行代码生成页面中的URL。//浏览页面,调用函数ParseUrl();直接可以使用变量$_GET 

?

?

当然,很多MVC框架中,均支持这样的功能,但在MVC框架中,并不一定是用上面两个函数实现的了。
其实,它不仅是伪静态所需。同时也是MVC所必须要的功能。这是因为,MVC中的所谓的单一入口,也是凭此功能实现的。
我们可以见到很多网站,链接象? http://www.tiaotiaola.com/s/2/3/4/5.html
实际是经过.htaccess,或者是UrlRewrite处理过的。未处理之前是:http://www.tiaotiaola.com/s.php/2/3/4/5.html
s.php一定是MVC的入口文件。
这就是说,s.php/2/3/4/5.html这样的文件,均会当成PHP文件被执行。

关于文件上传漏洞问题。本文首发时,讲到的 some.php.png 会被当成PHP执行,实际是因某一类设置错误造成的。

而对于 some.php%3Fpng,即便存在这样的文件,相对于APACHE服务器的安全性,此文件也是禁止访问的。

当然:some.png.php肯定是不能上传到服务器上的。

但这也并不是说,上传就是完全安全。仍然存在通过上传文件名实现的URL的嵌入攻击。解决?URL的嵌入攻击的办法则是:
对所有的上传文件均进行改名。即不保存原始文件名。如果要保存,则必须去掉文件名中的"."以及其它可能有攻击性的语法。
我们推荐的做法是不保存原始文件名,即对原始文件名用md5或sha进行hash,如果要区分上传时间,可以加上时间戳,即生成的是纯a-z0-9文字的文件名。最后加上原始扩展名即可。
另一个方面:假如黑客能够攻击到操纵你的SHELL,那么,some.php.png则是可以被执行的。从这一点来说,关键不是在上传这一边控制,而是如何禁止服务器的远程脚本运行的安全配置问题了。

?

————————————————————————————————————————

后记:感谢1 楼 aweber?指出文中的错误。 此文发布时,有些问题,未经完全测试确认。?

?

?

1 楼 aweber 2011-06-08
"php中有一个让人不解的特性,那就是,如果文件名中有".php",则会自动调用PHP引擎,当成PHP脚本处理。"
这句话是错误的。用什么样的程序来处理什么样后缀名的请求,是根据web服务器(apahce,nginx)设置的。
举个例子 apache 可以使用action命令来设置
actioin application/x-httpd-php "/php/php-cgi.exe" 这条命令是表明当请求application/x-httpd-php媒体类型的请求时,使用/php/php-cgi.exe来处理这个请求
同时,可以使用addType来建立后缀名和媒体类型的映射关系
addType application/x-httpd-php .php 这样,当请求是以.php为后缀名,则认为是application/x-httpd-php类题类型的,
这样,如果你愿意,也可以设置成
addType application/x-httpd-php .example,那么当你请求xxx.example的时候,这个文件也会被当成php文件来解析
php函数伪静态、MVC单一入口与文件下传安全漏洞

声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn核实处理。

相关文章

相关视频


网友评论

文明上网理性发言,请遵守 新闻评论服务协议

我要评论
  • php函数伪静态、MVC单一入口与文件下传安全漏洞
  • 专题推荐

    作者信息
    php函数伪静态、MVC单一入口与文件下传安全漏洞

    认证0级讲师

    推荐视频教程
  • php函数伪静态、MVC单一入口与文件下传安全漏洞javascript初级视频教程
  • php函数伪静态、MVC单一入口与文件下传安全漏洞jquery 基础视频教程
  • 视频教程分类