php后門URL的防范

更新時(shí)間：2013年11月12日 11:13:54 作者：

后門URL是指雖然無(wú)需直接調(diào)用的資源能直接通過(guò)URL訪問(wèn)

例如，下面WEB應(yīng)用可能向登入用戶顯示敏感信息：

<?php
$authenticated = FALSE;
$authenticated = check_auth();
if ($authenticated)
{
    include './sensitive.php';
}
?>

由于sensitive.php位于網(wǎng)站主目錄下，用瀏覽器能跳過(guò)驗(yàn)證機(jī)制直接訪問(wèn)到該文件。這是由于在網(wǎng)站主目錄下的所有文件都有一個(gè)相應(yīng)的URL地址。在某些情況下，這些腳本可能執(zhí)行一個(gè)重要的操作，這就增大了風(fēng)險(xiǎn)。
為了防止后門URL，你需要確認(rèn)把所有包含文件保存在網(wǎng)站主目錄以外。所有保存在網(wǎng)站主目錄下的文件都是必須要通過(guò)URL直接訪問(wèn)的。

您可能感興趣的文章:

php
后門

相關(guān)文章

PHP進(jìn)制轉(zhuǎn)換實(shí)例分析(2,8,16,36,64進(jìn)制至10進(jìn)制相互轉(zhuǎn)換)
這篇文章主要介紹了PHP進(jìn)制轉(zhuǎn)換,結(jié)合具體實(shí)例形式分析了2,8,16,36,64進(jìn)制至10進(jìn)制相互轉(zhuǎn)換實(shí)現(xiàn)技巧,具有一定參考借鑒價(jià)值,需要的朋友可以參考下
2017-02-02
PHP在特殊字符前加斜杠的實(shí)現(xiàn)代碼
PHP在特殊字符前加斜杠的代碼，需要的朋友可以參考下。quotemeta() 函數(shù)在字符串中某些預(yù)定義的字符前添加反斜杠。
2011-07-07
收集的PHP中與數(shù)組相關(guān)的函數(shù)
收集的PHP中與數(shù)組相關(guān)的函數(shù)...
2007-03-03
php mb_substr()函數(shù)截取中文字符串應(yīng)用示例
substr()函數(shù)用來(lái)截取字符串，但是對(duì)于中文字符會(huì)出現(xiàn)問(wèn)題，而mb_substr()和mb_strcut這兩個(gè)函數(shù)可以，下面為大家介紹其具體用法
2014-07-07
php簡(jiǎn)單隔行變色功能實(shí)現(xiàn)代碼
這篇文章主要介紹了php簡(jiǎn)單隔行變色功能實(shí)現(xiàn)代碼,通過(guò)for語(yǔ)句讀取奇偶行數(shù)設(shè)置樣式的不同顏色值進(jìn)而實(shí)現(xiàn)隔行變色功能,需要的朋友可以參考下
2016-07-07
php如何獲取文件的擴(kuò)展名
這篇文章主要介紹了php如何獲取文件的擴(kuò)展名,即文件后綴名的方法做一個(gè)總結(jié)，感興趣的小伙伴們可以參考一下。
2015-10-10
PHP 反射(Reflection)使用實(shí)例
這篇文章主要介紹了PHP 反射(Reflection)使用實(shí)例,本文講解了ReflectionClass、ReflectionExtension、 ReflectionFunction、ReflectionMethod、ReflectionObject、ReflectionParameter等類的使用實(shí)例,需要的朋友可以參考下
2015-05-05
dede3.1分頁(yè)文字采集過(guò)濾規(guī)則詳說(shuō)(圖文教程)續(xù)二
dede3.1分頁(yè)文字采集過(guò)濾規(guī)則詳說(shuō)(圖文教程)續(xù)二...
2007-04-04
php錯(cuò)誤級(jí)別的設(shè)置方法
PHP在運(yùn)行時(shí), 針對(duì)嚴(yán)重程度不同的錯(cuò)誤,會(huì)給以不同的提示，這里簡(jiǎn)單介紹下，方便需要的朋友
2013-06-06
PHP排序算法系列之桶排序詳解
這篇文章主要為大家詳細(xì)介紹了PHP排序算法系列之桶排序，具有一定的參考價(jià)值，感興趣的小伙伴們可以參考一下
2018-01-01