PHP编程中的常见漏洞和代码实例(5)

1. 限制哪个命令可以被执行
2. 限制哪个函数可以被使用
3. 基于脚本所有权和目标文件所有权的文件访问限制
4. 禁止文件上载功能

这对于ISP来说是一个"伟大"的选项,同时它也能极大地改进PHP的安全性。

** 设置"open_basedir"

这个选项可以禁止指定目录之外的文件操作,有效地消除了本地文件或者是远程文件被include()的攻击,但是仍需要注意文件上载和session文件的攻击。

** 设置"display_errors"为"off",设置"log_errors"为"on"

这个选项禁止把错误信息显示在网页中,而是记录到日志文件中,这可以有效的抵制攻击者对目标脚本中函数的探测。

* 设置"allow_url_fopen"为"off"

这个选项可以禁止远程文件功能。

复制代码 代码如下:


//这里allow_url_fopen 注意下,在jnc blog上看到,可以用

<?php 
include('\\myip\test.php'); 
?> 
  
<?php 
include('//myip\test.php'); 
?> 


来饶过?

您可能感兴趣的文章:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/a321fa8ea3f6664993d734109e24a0e9.html