av一区二区在线观看_亚洲男人的天堂网站_日韩亚洲视频_在线成人免费_欧美日韩精品免费观看视频_久草视

您的位置:首頁技術(shù)文章
文章詳情頁

PHP安全-安全模式

瀏覽:112日期:2022-09-11 17:48:05
安全模式

PHP的safe_mode選項(xiàng)的目的是為了解決本章所述的某些問題。但是,在PHP層面上去解決這類問題從架構(gòu)上來看是不正確的,正如PHP手冊所述(http://php.net/features.safe-mode)。

當(dāng)安全模式生效時(shí),PHP會(huì)對正在執(zhí)行的腳本所讀取(或所操作)文件的屬主進(jìn)行檢查,以保證與該腳本的屬主是相同的。雖然這樣確實(shí)可以防范本章中的很多例子,但它不會(huì)影響其它語言編寫的程序。例如,使用Bash寫的CGI腳本:

#!/bin/bash

echo 'Content-Type: text/plain'

echo ''

cat /home/victim/inc/db.inc

Bash解析器會(huì)去關(guān)心甚至檢查PHP配置文件中的打開安全模式的配置字符串嗎?當(dāng)然不會(huì)。同樣的,該服務(wù)器支持的其它語言,如Perl,Python等都不會(huì)去關(guān)心這個(gè)。 本章中的所有例子可以很簡單地被改編成其它編程語言。

另一個(gè)典型的問題是安全模式不會(huì)拒絕屬于WEB服務(wù)器文件的訪問。這是由于一段腳本可以用于建立另一段腳本,而新腳本是屬于WEB服務(wù)器的,因此它可以訪問所有屬于WEB服務(wù)器的文件:

<?php

$filename = ’file.php’;

$script = ’<?php

header(’Content-Type: text/plain’);

readfile($_GET[’file’]);

?>’;

file_put_contents($filename, $script);

?>

上面的腳本建立了下面的文件:

<?php

header(’Content-Type: text/plain’);

readfile($_GET[’file’]);

?>

由于該文件是由Web服務(wù)器所建立的,因此它的屬主是Web服務(wù)器(Apache一般以nobody用戶運(yùn)行):

$ ls file.php

-rw-r--r-- 1 nobody nobody 72 May 21 12:34 file.php

因此,這個(gè)腳本可以繞過很多安全模式所提供的安全措施。即使打開了安全模式,攻擊者也能顯示一些信息如保存在/tmp目錄內(nèi)的會(huì)話信息,這是由于這些文件是屬于Web服務(wù)器的(nobody)。

PHP的安全模式確實(shí)起到了一些作用,可以認(rèn)為它是一種深度防范機(jī)制。可是,它只提供了可憐的保護(hù),同時(shí)在本章中也沒有其它安全措施來替代它。

標(biāo)簽: PHP
相關(guān)文章:
主站蜘蛛池模板: 香蕉大人久久国产成人av | 亚洲视频欧美视频 | 91在线中文字幕 | 国产精品久久久久久吹潮日韩动画 | 一区二区亚洲 | 毛片一级黄色 | 欧美一卡二卡在线 | 欧美一区二 | 午夜爽爽爽男女免费观看 | 伊人激情综合网 | 亚洲一区二区久久 | 亚洲伊人久久综合 | 成人在线免费观看 | 免费看91| 中文字幕日韩一区 | 久久久精品综合 | 日本字幕在线观看 | 欧美一级欧美三级在线观看 | 欧美不卡一区二区三区 | 国产高清免费 | 精品久久一 | 日韩精品一区二区三区中文在线 | 成人在线观看免费观看 | 久久这里只有精品首页 | 午夜影视 | 亚洲一区 | 欧美老少妇一级特黄一片 | 国产精品免费一区二区三区四区 | 欧美成人激情 | 国产成人精品一区二区 | 中文字幕亚洲专区 | 午夜二区 | 国产精品69毛片高清亚洲 | 一区二区三区不卡视频 | 成人在线观看中文字幕 | 日韩一区二区三区在线 | 国产精品a久久久久 | 亚洲精品乱码久久久久久按摩观 | 酒色成人网 | 精品久久99 | 久久精品国产久精国产 |