瘦瘦未来
PHP安全编程之文件包含的代码注入攻击
一个特别危险的情形是当你试图使用被污染数据作为动态包含的前导部分时:<?phpinclude "{$_GET['path']}/header.inc";?>在这种情形下攻击者能操纵不只是文件名,还能控制所包含的资源。由于PHP默认不只可以包含文件,还可以包含下面的资源(由配置文件中的allow_url_fopen所控制):<?phpinclude 'http://ww
