预防 remote file inclusion

bluecloud08

请问各位 php 高手，你们是怎样预防 remote file inclusion 的？上网找了些资料，有的是很简单的方法。。。
有些却提到许多复杂的东西，我所不明白的，所以我想问问有经验的高手们，你们都是用那些 standard 的方法来预防的？毕竟网上所提的太多了也是我理解能力以外的，所以希望大家能帮帮我！谢谢！

Super-Tomato

原帖由 bluecloud08 于 2009-6-25 11:41 AM 发表
请问各位 php 高手，你们是怎样预防 remote file inclusion 的？上网找了些资料，有的是很简单的方法。。。
有些却提到许多复杂的东西，我所不明白的，所以我想问问有经验的高手们，你们都是用那些 standard 的 ...

不要使用變數做為 include 的檔案名稱
如果真的要使用變數的話, 那麼就判斷變數是否為 local 檔路徑


p/s: 如果 PHP 的 register global 是 on 的話, 就請關閉

[ 本帖最后由 Super-Tomato 于 2009-6-25 12:36 PM 编辑 ]

bluecloud08

原帖由 Super-Tomato 于 2009-6-25 12:34 PM 发表



不要使用變數做為 include 的檔案名稱
如果真的要使用變數的話, 那麼就判斷變數是否為 local 檔路徑


p/s: 如果 PHP 的 register global 是 on 的話, 就請關閉

怎样判断变数是否为 local路径？

我还读到这个

1. 
   
2. php_flag allow_url_fopen off
   
3. php_flag allow_url_include off
   

复制代码

是吗？

通常这些就够了吗？我在网上读到一些对我来讲很难明白的。。。

Super-Tomato

原帖由 bluecloud08 于 2009-6-25 02:04 PM 发表


怎样判断变数是否为 local路径？

最簡單的方法就是使用 strpos 判別是否為其他網址, 如 http:// 等字樣

原帖由 bluecloud08 于 2009-6-25 02:04 PM 发表
我还读到这个

php_flag allow_url_fopen off
php_flag allow_url_include off


是吗？

通常这些就够了吗？我在网上读到一些对我来讲很难明白的。。。

我一般都沒去設定, 所以 php 設定是根據個人所需, ini 中希望甚麼功能開啟或關閉需使用  ini_set 函數

[ 本帖最后由 Super-Tomato 于 2009-6-25 04:11 PM 编辑 ]

bluecloud08

原帖由 Super-Tomato 于 2009-6-25 04:09 PM 发表


最簡單的方法就是使用 strpos 判別是否為其他網址, 如 http:// 等字樣






我一般都沒去設定, 所以 php 設定是根據個人所需, ini 中希望甚麼功能開啟或關閉需使用  ini_set 函數

那就是这样，strpos(myvariable,"http://")?

那你只是用以上你所提及的方法来处理这个 remote file inclusion attack ？因为我没有任何经验，所以就给所找到的资料搞到很乱。。。
若一般上有经验者都是使用这些防护的话，那我想就不用加上其他的了。。。何况我也不懂。。。

谢谢！