我将有一个应用程序,我将在其中提示用户输入 URL(使用正确的正则表达式 url 验证)并返回带有 cURL 的页面并对其运行一些检查。
使用 cURL 安全返回远程网页的最安全方法是什么?据我了解,即使 cURL 也存在一些漏洞,例如“安全模式”安全绕过(http://www.securityfocus.com/bid/27413)。
问问题
363 次
1 回答
0
SecurityFocus 声称这已在 PHP 5.2.6 中得到修复。如果您无法升级到该版本,则需要手动检查该攻击向量。如果网址前面肯定有“http”,也许检查你的用户输入,if (substr($url, 0, 7) == 'http://'))
此外,根据此 php 错误报告的评论curl 为您提供了禁用特定协议的选项,包括本地文件访问,但仅当您从源代码配置和编译时。根据cURL 安装手册,它必须是这样的(未经测试):
./configure --disable-file
于 2010-09-12T09:51:17.690 回答