Help us learn about your current experience with the documentation. Take the survey.
PHP 远程文件包含
描述
服务器存在 PHP 远程文件包含 (RFI) 漏洞,这使攻击者能够加载远程文件,并在服务器端将其作为 PHP 脚本执行。当未经验证的用户输入被直接用于脚本包含而没有适当验证时,就会出现此漏洞。攻击者可以利用此漏洞来包含和执行任意远程文件,可能损害系统的完整性和机密性。
修复方案
避免在 include 和 require 语句中直接使用用户控制的数据,而是考虑采用白名单方法来动态包含脚本。
如果可能,还考虑在服务器的 PHP 配置中设置 allow_url_include=Off,以确保 URL 不能用于 include 和 require 语句。
详情
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 98.1 | false | 98 | Active | high |