PHP Lang
  1. PHP Lang
  3. Как предотвратить загрузку файлов PHP? И каким образом кто-то может их загрузить?
Intereting Posts
Drupal 7 hook_node_view добавляет форму к содержимому узла Обновление Zend_Auth_Storage после редактирования профиля пользователя Общее количество часов не может быть вставлено в MySQL из Android получить список источников данных ODBC в локальном компьютере с помощью PHP Как печенье влияет на кеширование лаков? Кнопка удаления PHP / SQL для каждой строки Есть способ получить все ключи массива? PHP-MYSQL: преобразование временной отметки Unix в DateTime и наоборот Как предотвратить изменение размера таблицы в PDF с помощью mPDF и PHP? Проверьте, находится ли пользователь на странице Как понизить Wampserver PHP и Apache? конфликты с несколькими формами: codeigniter conflict MySQL – сохранение изображений в базе данных? Сравните все строки в массиве со всеми строками в другом массиве, PHP Есть ли способ заставить FPDF / FPDI или Zend_Pdf поддерживать разбор PDF-файлов более чем на 1,4?

Как предотвратить загрузку файлов PHP? И каким образом кто-то может их загрузить?

Как запретить загрузку файлов php «незаконно», как через браузер. И каким образом кто-то может использовать для загрузки php-файлов?

Вы не можете избежать загрузки файлов, если ваше приложение не защищено. В следующем примере злоумышленник может просмотреть любой файл на вашем сервере: 

<?php readfile($_GET['file']); ?>

Если вы хотите, чтобы Apache не показывал исходный код, если что-то не так с PHP, добавьте это в свой httpd.conf / .htaccess: 

 # In case there is no PHP, deny access to php files (for safety) <IfModule !php5_module> <FilesMatch "\.(php|phtml)$"> Order allow,deny Deny from all </FilesMatch> </IfModule> # the following should be added if you want to parse .php and .phtml file as PHP # .phps will add syntax highlighting to the file when requesting it with a browser <IfModule php5_module> AddType text/html .php .phtml .phps AddHandler application/x-httpd-php .php .phtml AddHandler application/x-httpd-php-source .phps </IfModule>

При нормальных обстоятельствах никто не может загрузить исходный код PHP, поскольку он выполняется на сервере. Вебсервер распознает PHP-скрипты и передает их на PHP. Затем результат возвращается в браузер запрашивающего пользователя. Ситуация, о которой вы описали, может быть достигнута только в том случае, если конфигурация веб-сервера действительно перепутана. 

 <?php header('Content-disposition: attachment; filename=http://www.victim.com/phpfile.php'); header('Content-type: application/pdf'); readfile('http://www.victim.com/phpfile.php'); ?>

В нормальных условиях никто не может загрузить исходный код PHP (тот же, что и другой ответ), но если у вас есть файл с другим примером расширения: page1.bak, и у вас есть page1.php, page.bak загружается, если вы просто вставляете url ht ..//…/ page1

Я подтвердил это с помощью PHP версии 5.3.10-1ubuntu3.2 и Apache / 2.2.22. Вкратце, не ставьте свои конфигурационные или тестовые файлы в производственный каталог, если вы не хотите, чтобы их загружали в исходное состояние.

Опция Multiview также должна быть отключена в apache2.conf или httpd.conf, чтобы избежать дефолта по возврату «близкого» имени файла.

Вы никогда не загружаете php-файл с веб-сервера, на котором запущена php. Вы можете загрузить HTML-код, поставляемый с php, как в этом ответе. Вы не получаете php-скрипт, вы получаете HTML + JavaScript (если есть) 

 <?php header('Content-disposition: attachment; filename=http://www.victim.com/phpfile.php'); header('Content-type: application/pdf'); readfile('http://www.victim.com/phpfile.php'); ?>