av一区二区在线观看_亚洲男人的天堂网站_日韩亚洲视频_在线成人免费_欧美日韩精品免费观看视频_久草视

您的位置:首頁技術文章
文章詳情頁

PHP安全-安全模式

瀏覽:113日期:2022-09-11 17:48:05
安全模式

PHP的safe_mode選項的目的是為了解決本章所述的某些問題。但是,在PHP層面上去解決這類問題從架構上來看是不正確的,正如PHP手冊所述(http://php.net/features.safe-mode)。

當安全模式生效時,PHP會對正在執行的腳本所讀取(或所操作)文件的屬主進行檢查,以保證與該腳本的屬主是相同的。雖然這樣確實可以防范本章中的很多例子,但它不會影響其它語言編寫的程序。例如,使用Bash寫的CGI腳本:

#!/bin/bash

echo 'Content-Type: text/plain'

echo ''

cat /home/victim/inc/db.inc

Bash解析器會去關心甚至檢查PHP配置文件中的打開安全模式的配置字符串嗎?當然不會。同樣的,該服務器支持的其它語言,如Perl,Python等都不會去關心這個。 本章中的所有例子可以很簡單地被改編成其它編程語言。

另一個典型的問題是安全模式不會拒絕屬于WEB服務器文件的訪問。這是由于一段腳本可以用于建立另一段腳本,而新腳本是屬于WEB服務器的,因此它可以訪問所有屬于WEB服務器的文件:

<?php

$filename = ’file.php’;

$script = ’<?php

header(’Content-Type: text/plain’);

readfile($_GET[’file’]);

?>’;

file_put_contents($filename, $script);

?>

上面的腳本建立了下面的文件:

<?php

header(’Content-Type: text/plain’);

readfile($_GET[’file’]);

?>

由于該文件是由Web服務器所建立的,因此它的屬主是Web服務器(Apache一般以nobody用戶運行):

$ ls file.php

-rw-r--r-- 1 nobody nobody 72 May 21 12:34 file.php

因此,這個腳本可以繞過很多安全模式所提供的安全措施。即使打開了安全模式,攻擊者也能顯示一些信息如保存在/tmp目錄內的會話信息,這是由于這些文件是屬于Web服務器的(nobody)。

PHP的安全模式確實起到了一些作用,可以認為它是一種深度防范機制。可是,它只提供了可憐的保護,同時在本章中也沒有其它安全措施來替代它。

標簽: PHP
相關文章:
主站蜘蛛池模板: 日韩精品久久 | 精品中文字幕视频 | 99热在线播放 | 国产一区二区三区 | 在线观看国产91 | 91精品国产综合久久福利软件 | 国产999精品久久久久久绿帽 | 最新av在线网址 | 日韩在线中文 | www.久| 四虎影院久久 | 国产精品日女人 | 亚洲国产精品一区二区三区 | 国产96色在线 | 麻豆精品久久久 | 高清一区二区 | 日韩三极 | 99久久婷婷 | 国产精品久久久久婷婷二区次 | 日韩中文字幕在线 | 欧美日韩一区二区三区视频 | 一级做a爰片久久毛片免费看 | 久久精品亚洲精品国产欧美 | 色呦呦在线 | 日本国产精品视频 | 国产一区二区三区四区 | 一级在线毛片 | 伊人网综合在线观看 | 7777精品伊人久久精品影视 | 日日干日日色 | a级网站| 国产91在线播放精品91 | 先锋资源吧 | 国产一区二区黑人欧美xxxx | 欧美成年网站 | 在线日韩不卡 | 91在线一区 | 精品免费国产一区二区三区四区 | 91麻豆精品国产91久久久久久 | 国精久久 | 国产黄色大片 |