Home > Backend Development > PHP Tutorial > php函数伪静态、MVC单一入口与文件下传安全漏洞

php函数伪静态、MVC单一入口与文件下传安全漏洞

WBOY
Release: 2016-06-13 10:56:22
Original
881 people have browsed it

php函数伪静态、MVC单一入口与文件上传安全漏洞

php的函数伪静态也是这样做出来的。
以下是函数伪静态所用的函数:

?

function MakeUrl($arr){          foreach($arr as $key=>$value){                  $url[]=$key."_".$value;          }          $tmpurl=implode("_",$url);          return $tmpurl.".htm"; } function ParseUrl(){     if($_SERVER['PATH_INFO']!=""){          $pathinfo=substr($_SERVER['PATH_INFO'],1);          $pathinfo=str_replace(".htm","",$pathinfo);          $path=explode("_",$pathinfo);          $count=count($path);          for($i=0;$i2,'page'=>1)); 以上两行代码生成页面中的URL。//浏览页面,调用函数ParseUrl();直接可以使用变量$_GET 
Copy after login

?

?

当然,很多MVC框架中,均支持这样的功能,但在MVC框架中,并不一定是用上面两个函数实现的了。
其实,它不仅是伪静态所需。同时也是MVC所必须要的功能。这是因为,MVC中的所谓的单一入口,也是凭此功能实现的。
我们可以见到很多网站,链接象? http://www.tiaotiaola.com/s/2/3/4/5.html
实际是经过.htaccess,或者是UrlRewrite处理过的。未处理之前是:http://www.tiaotiaola.com/s.php/2/3/4/5.html
s.php一定是MVC的入口文件。
这就是说,s.php/2/3/4/5.html这样的文件,均会当成PHP文件被执行。

关于文件上传漏洞问题。本文首发时,讲到的 some.php.png 会被当成PHP执行,实际是因某一类设置错误造成的。

而对于 some.php%3Fpng,即便存在这样的文件,相对于APACHE服务器的安全性,此文件也是禁止访问的。

当然:some.png.php肯定是不能上传到服务器上的。

但这也并不是说,上传就是完全安全。仍然存在通过上传文件名实现的URL的嵌入攻击。解决?URL的嵌入攻击的办法则是:
对所有的上传文件均进行改名。即不保存原始文件名。如果要保存,则必须去掉文件名中的"."以及其它可能有攻击性的语法。
我们推荐的做法是不保存原始文件名,即对原始文件名用md5或sha进行hash,如果要区分上传时间,可以加上时间戳,即生成的是纯a-z0-9文字的文件名。最后加上原始扩展名即可。
另一个方面:假如黑客能够攻击到操纵你的SHELL,那么,some.php.png则是可以被执行的。从这一点来说,关键不是在上传这一边控制,而是如何禁止服务器的远程脚本运行的安全配置问题了。

?

————————————————————————————————————————

后记:感谢1 楼 aweber?指出文中的错误。 此文发布时,有些问题,未经完全测试确认。?

?

?

1 楼 aweber 2011-06-08  
"php中有一个让人不解的特性,那就是,如果文件名中有".php",则会自动调用PHP引擎,当成PHP脚本处理。"
这句话是错误的。用什么样的程序来处理什么样后缀名的请求,是根据web服务器(apahce,nginx)设置的。
举个例子 apache 可以使用action命令来设置
actioin application/x-httpd-php "/php/php-cgi.exe" 这条命令是表明当请求application/x-httpd-php媒体类型的请求时,使用/php/php-cgi.exe来处理这个请求
同时,可以使用addType来建立后缀名和媒体类型的映射关系
addType application/x-httpd-php .php  这样,当请求是以.php为后缀名,则认为是application/x-httpd-php类题类型的,
这样,如果你愿意,也可以设置成
addType application/x-httpd-php .example,那么当你请求xxx.example的时候,这个文件也会被当成php文件来解析 
Related labels:
source:php.cn
Statement of this Website
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn
Popular Tutorials
More>
Latest Downloads
More>
Web Effects
Website Source Code
Website Materials
Front End Template