文件包含漏洞—allow_url_fopen和allow_url_include详解

文件包含漏洞—allow_url_fopen和allow_url_include详解文件包含漏洞_allow_url_fopen和allow_url_include详解提要:在文件包含漏洞中,PHP脚本环境中php.ini文件中通常会涉及到这两个参数,两个参数的开启或关闭影响文件包含漏洞的利用。1,参数简介:allow_url_fopen参数(只影响RFI,不影响LFI)简介:是否允许将URL(HTTP,HTTPS等)作为文件打开处理allow_url_include参数(只影响RFI,不影响LFI)简介:是否允许includeI()和require()函数包含URL(HTTP

大家好,又见面了,我是你们的朋友全栈君。

文件包含漏洞_allow_url_fopen和allow_url_include详解

提要:在文件包含漏洞中,PHP脚本环境中php.ini文件中通常会涉及到这两个参数,两个参数的开启或关闭影响文件包含漏洞的利用。

1,参数简介:

allow_url_fopen参数(只影响RFI,不影响LFI)

简介:是否允许将URL(HTTP,HTTPS等)作为文件打开处理

allow_url_include参数(只影响RFI,不影响LFI)
简介:是否允许includeI()和require()函数包含URL(HTTP,HTTPS)作为文件处理

2,验证:

本地创建文件内容为<?php phpinfo?>的文件123.txt,

当allow_url_fopen=Off和allow_url_include=Off或allow_url_fopen=Off和allow_url_include=On时,文件包含失败:
在这里插入图片描述
当allow_url_fopen=On和allow_url_include=On时,include等其他包含函数才会将URL代表的文件包含执行,文件包含成功:
在这里插入图片描述

3,总结:

只有当allow_url_fopen=On和allow_url_include=On时,include等其他包含函数才会将URL代表的文件包含执行

参考文章

allow_url_fopen 和 allow_url_include
allow_url_include和allow_url_fopen 详解

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/160252.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 超声波雷达简介_陕西雷达简介

    超声波雷达简介_陕西雷达简介超声波雷达听着很陌生,但其实一直被广泛使用在倒车上,与毫米波雷达不同的是:超声波能被任何材质的障碍物反射,毫米波只能被金属物体反射,超声波雷达的探测距离又很近,到底工作原理是什么,下面我带大家一起来来看看。1.工作原理超声波雷达的工作原理是通过超声波发射装置向外发出超声波,到通过接收器接收到发送过来超声波时的时间差来测算距离。常用探头的工作频率有40kHz,48kHz和58kHz三种。一般来说,频率越高,灵敏度越高,但水平与垂直方向的探测角度就越小,故一般采用40kHz的探头。超声波

  • JAVA实现二维码扫码登录「建议收藏」

    实现客户端扫码登录分为下列四步.

  • vscode 自动补全html代码的插件_vimhtml5自动补全

    vscode 自动补全html代码的插件_vimhtml5自动补全不需要插件,VSCode代码自动补全(html标签、style样式、css属性及值、),修改配置文件即可完成!效果图·演示如下:操作步骤·如下:本编辑器已经汉化,所以截图如下。首先,取消选中(控制在活动代码片段内是否禁用快速建议)修改路径(截图示下):设置–>文本编辑器(建议)–>取消选中Suggest:SnippetsPreventQ…

  • 王思聪新浪微博微博_kimi乔任梁王思聪

    王思聪新浪微博微博_kimi乔任梁王思聪作者|天使不投资人本文经授权转载自虎嗅APP(ID:huxiu_com)iG夺冠了!iG夺冠了!——11月3日,社交媒体成为了年轻人欢乐的海洋,微博尤甚。根本不知道LOL、也不知道iG是什么的叔叔阿姨们,对这次刷屏一点都不反感,毕竟IG老板,人称“校长”的王思聪,为了庆祝自家战队创造历史,在11月6日发起了一场豪气抽奖:从参与人数就可以隔着屏幕感受到一万元奖金的巨大…

  • 数据库建表规则_SQL创建数据表

    数据库建表规则_SQL创建数据表–数据库建表语句的规范小结建表语句的规范:1.字段的设计   A.数据类型尽量用数字类型,数字类型的比字符类型的要快很多。  B.数据类型尽量小,这里的尽量小是指在满足可以预见的未来需求的前提下的,但是有不能太小,  上次监控系统里面的表mon_tair_stat_detail_2012_1的data_size和use_size定义的是int(15)实际上

  • docker启动mysql镜像命令_ubuntu20修改ip命令

    docker启动mysql镜像命令_ubuntu20修改ip命令1、拷贝mysql离线包1.1、将mysql-57.gz安装文件拷贝到linux2、安装mysql2.1、进入mysql安装包目录2.2、加载mysql镜像dockerload-imysql-57.gz2.3、查看镜像dockerimages2.4、创建mysql容器启动mysql镜像,创建一个mysql容器dockerrun-d–namemysql-p3307:3306-eMYSQL_ROOT_PASSWORD=1234569e64d176cd

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号