php.ini中allow_url_fopen和allow_url_include的设置

php.ini中allow_url_fopen和allow_url_include的设置all_url_include在php5.2以后添加,安全方便的设置(php的默认设置)为:allow_url_fopen=on;all_url_include=off;allow_url_fopen=On(允许打开URL文件,预设启用)allow_url_fopen=Off(禁止打开URL文件)allow_url_include=Off(禁止引用URL文件,新版增加功能…

大家好,又见面了,我是你们的朋友全栈君。

all_url_include在php 5.2以后添加,安全方便的设置(php的默认设置)为:allow_url_fopen=on;all_url_include=off;
allow_url_fopen = On (允许打开URL文件,预设启用)
allow_url_fopen = Off (禁止打开URL文件)
allow_url_include = Off (禁止引用URL文件,新版增加功能,预设关闭)
allow_url_include = On (允许引用URL文件,新版增加功能)

禁止allow_url_include解决了远端引用(Include)的问题, 同时又让我们还可以在
一般的情形下使用fopen去打开远端的档案, 而不必再牵连上打开include函数所带来的风险.
因此在新版PHP中allow_url_fopen选项预设是打开的,而allow_url_include则预设是关闭的.
然而事实上若从系统角度来看,即使禁止了PHP的allow_url_fopen和allow_url_include功能,
其实也不能完全阻止远端调用及其所带来的安全隐忧,而且它们只是保护了标记为URL的句柄,
也就是说只能影响http(s)和ftp(s)的调用, 但对包含其他标记的远端调用,例如对PHP5.2.0
新版所提供的php和data则无能为力,而这些调用一样会导致注入风险

连接转自: https://www.cnblogs.com/liruning/p/6023256.html

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/162799.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • Windows文件服务器文件审计,文件监控软件,File_System_Auditor2.53安装教程[通俗易懂]

    Windows文件服务器文件审计,文件监控软件,File_System_Auditor2.53安装教程[通俗易懂]这里写目录标题一、事前准备二、安装过程2.1、安装.net2.02.2、安装File_System_Auditor2.2.1、下载[File_System_Auditor安装包](https://download.csdn.net/download/weixin_42523454/20592714),解压2.2.2、先安装FSASetup_Console_1.522.2.3、一直下一步,安装完成之后,导入注册表2.2.4、打开激活软件2.2.5、输入资料,获取授权书,2号处为成功2.2.6、卸载FSASe

  • 20针JLINK与10针JTAG的连接方法「建议收藏」

    20针JLINK与10针JTAG的连接方法「建议收藏」三星S3C6410的底板Jtag接口是10针,而普通的Jlink的接口是20针。因此就需要接口转换:

  • pcie和minipcie区别_minipcie接口定义

    pcie和minipcie区别_minipcie接口定义1,产品介绍:MCIeCAN系列miniPCIe接口CAN卡,具有1~2路CAN通道和一路PCIExpressmini接口,插到工控机或单板电脑的PCIExpressmini卡槽上,快速扩展出1~2路CAN通道。CAN接口电气隔离高达2500VDC,具有优秀的EMC性能,可靠性测试项目:ESD接触放电8KV、浪涌±1KV、脉冲群±2KV,工业级,通过CE-EMC和FCC认证。,2,配套功能配套测试软件LCANTest使用,接收、发送、查看、分析、记录、回放CAN报文;配套丰富驱动;配套包含库函数、

  • MATLAB R2019b超详细安装教程(附完整安装文件)

    MATLAB R2019b超详细安装教程(附完整安装文件)摘要:本文详细介绍MATLABR2019b的安装步骤,为方便安装这里提供了完整安装文件的百度网盘下载链接供大家使用。从文件下载到证书安装本文都给出了每个步骤的截图,按照图示进行即可轻松完成安装使用。本文目录包括:下载安装包、正式安装步骤、复制替换文件、创建快捷方式。

  • MyEclipse10激活成功教程_MyEclipse激活码

    MyEclipse10激活成功教程_MyEclipse激活码myEclipse10可以去很多地方下载,我这里是从电脑管家下载的,下载完成后安装,安装很简单,不在多说安装完成后会发现你只有一个月的试用时间,我们就需要激活成功教程,这里需要下载一个激活成功教程补丁https://pan.baidu.com/s/1ivE2yauZRDdDq8zBxpK06A可以去网盘里下载,下载后解压,会有如下文件然后运行run.bat,会出现这个界面…

  • wget命令详解,断点续传[通俗易懂]

    wget命令详解,断点续传[通俗易懂](1)支持断点下传功能(2)同时支持FTP和HTTP下载方式(3)支持代理服务器(4)设置方便简单(5)程序小,完全免费?wget虽然功能强大,但是使用起来还是比较简单的,基本的语法是:wget[参数列表]URL。下面就结合具体的例子来说明一下wget的用法。1、下载整个http或者ftp站点。wgethttp://place.your.url

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号