这样做是不是不会引起PHP全局变量未初始化漏洞

发布于 2022-08-28 23:11:15 字数 531 浏览 44 评论 0

请输入图片描述

业余自学的PHP,想给自己写一个博客。

目前的思路是为每个可在前台显示的文件都要包含global.php文件
global.php文件define(GLOBAL_PHP,true)
每个不能显示的文件(例如include目录下或者func.php或者其他inc之类的文件)
就不会有GLOBAL_PHP的定义。
没有定义这个的,直接就显示forbidden.php页面了。

是否如图所示,不使用 _GET 就不会引起变量初始化漏洞 还是什么其他的原因?
根据图中推测。应该是不使用就不会引起。不过不太确定,故而来寻求指点

楼下两位。。
一个只说版本,能不能说得具体一点。。
另一位。。我问的是能不能引起漏洞,不是防止被访问。。毕竟也有别的例如admin.php之类的放在根目录下,不应该放在根目录下的我不会放的。。

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(3

拥抱没勇气 2022-09-04 23:11:15

这个问题我自己回答吧。

参考资料1:
PHP Security Guide 的地址:
http://phpsec.org/projects/guide/1.html
一本有关PHP安全的书。

参考资料2:
http://php.net/manual/en/security.globals.php
PHP4.2发行公告

这种说法:
Perhaps the most controversial change in PHP is when the default value for the PHP directive register_globals went from ON to OFF in PHP » 4.2.0. Reliance on this directive was quite common and many people didn't even know it existed and assumed it's just how PHP works. This page will explain how one can write insecure code with this directive but keep in mind that the directive itself isn't insecure but rather it's the misuse of it.

也就是说,PHP4.1及之前的版本默认安装的PHP,
如果没定义变量的话,他就会给你相当于使用 _GET[“variable”] 这个方式来获取变量的值。
一个例子说明:

《?php
global $user ;

if $user == "admin"{
admin();
}
else{
user();
}

?》

也就是说你访问这个页面只要 test.php&user=admin 就会直接有管理的权限。

要是避免这个漏洞的话的话需要修改php的配置文件register_globals改为OFF。

PHP4.2及以后的版本就不会。

可以grep -r register_globals /etc/php*

梦里°也失望 2022-09-04 23:11:15

看版本。5.5的路过……

晨曦÷微暖 2022-09-04 23:11:15

防止php文件被访问的方法应该是document root下只放index.php作为单入口,其他php文件不要放在document root下

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文