PHP学习记录19(PHP 文件包含)
四种语句
PHP中有四个加载文件的语句:include、require、include_once、require_once。
require:require函数一般放在PHP脚本的最前面,PHP执行前就会先读入require指定引入的文件,包含并尝试执行引入的脚本文件。require的工作方式是提高PHP的执行效率,当它在同一个网页中解释过一次后,第二次便不会解释。但同样的,正因为它不会重复解释引入文件,所以当PHP中使用循环或条件语句来引入文件时,需要用到include。
include:可以放在PHP脚本的任意位置,一般放在流程控制的处理部分中。当PHP脚本执行到include指定引入的文件时,才将它包含并尝试执行。这种方式可以把程序执行时的流程进行简单化。当第二次遇到相同文件时,PHP还是会重新解释一次,include相对于require的执行效率下降很多,同时在引入文件中包含用户自定义函数时,PHP在解释过程中会发生函数重复定义问题。
require_once / include_once:分别与require / include作用相同,不同的是他们在执行到时会先检查目标内容是不是在之前已经导入过,如果导入过了,那么便不会再次重复引入其同样的内容。
include和require的区别:
1.相同点:都能够包含文件
2.不同点:include会尝试着去包含,如果包含不到,会提示警告错误,但是不会影响当前自身脚本的执行;require一定会去包含文件,而且包含的文件必须不能出错,否则会终止当前自身脚本的执行
include有返回值,而require没有返回值。
include在加载文件失败时,会生成一个警告(E_WARNING),在错误发生后脚本继续执行。所以include用在希望继续执行并向用户输出结果时。
require在加载失败时会生成一个致命错误(E_COMPILE_ERROR),在错误发生后脚本停止执行。一般用在后续代码依赖于载入的文件的时候。
include载入的文件不会判断是否重复,只要有include语句,就会载入一次(即使可能出现重复载入)。
而include_once载入文件时会有内部判断机制判断前面代码是否已经载入过。这里需要注意的是include_once是根据前面有无引入相同路径的文件为判断的,而不是根据文件中的内容(即两个待引入的文件内容相同,使用include_once还是会引入两个)。
PHP文件包含漏洞
文件包含漏洞(File Inclusion)是一种常见的依赖于脚本运行从而影响Web应用的漏洞。严格来说,文件包含漏洞是“代码注入”的一种,许多脚本语言,例如PHP、JSP、ASP、.NET等,都提供了一种包含文件的功能,这种功能允许开发者将可使用的脚本代码插入到单个文件中保存,在需要调用的时候可以直接通过载入文件的方式执行里面的代码,但是如果攻击者控制了可执行代码的路径,也就是文件位置时,攻击者可以修改指定路径,将其指向一个包含了恶意代码的恶意文件。
文件包含漏洞通常都会使Web服务器的文件被外界浏览导入信息泄露,执行的恶意脚本会导致网站被篡改,执行非法操作,攻击其他网站,获取WebShell等严重危害。
漏洞产生原理
在上一节的描述中我们提到,攻击者通过控制可执行代码的路径就可以实现文件包含漏洞,这只是一个对整体攻击流程的简化描述,在实际情境下,服务器解析执行php文件时通过包含函数可以加载另一个文件中的php代码,当被包含的文件中存在木马时,就意味着木马程序会在服务器上加载执行。
所以产生文件包含漏洞的根本原因在于开发者是否对通过包含函数加载的文件进行了严格且合理的校验,在PHP中总共有四种文件包含函数:
1)Include():包含并运行指定的文件,只有在程序执行到include时才包含文件,且当包含文件发生错误时,程序警告,但会继续执行。
2)Require():只要程序一运行就会执行该包含文件函数,当包含文件发生错误时,程序直接终止执行。
3)Include_once():和include()类似,不同之处在于include_once会检查这个文件是否已经被导入,如果已导入、下文便不会再导入。
4)Require_once():和require()类似,不同处在于require_once也是与include_once一样只导入一次。
根据被包含文件的位置不同,PHP文件包含漏洞可以分为本地文件包含漏洞(Local File Inclusion,LFI),和远程文件包含漏洞(Remote File Inclusion,RFI)。顾名思义,所谓的本地文件包含漏洞指的是攻击者通过控制包含文件函数,如include(),require()等,加载服务器本地上的PHP脚本文件,当然如果本地的PHP脚本文件都是一些对系统无害的功能性文件,攻击者也无法进行进一步的利用,但若是攻击者能够配合任意文件上传漏洞,将恶意文件上传进服务器中,再通过本地文件包含执行该恶意脚本就可以达到获得网站控制权的目的。
而远程文件包含漏洞是指攻击者可以通过文件包含函数加载其他服务器上的PHP文件,在实际项渗透目中,攻击者可以在自己的服务器上存放一个可执行的恶意文件,然后通过目标网站存在远程文件包含漏洞来加载相关文件,实现任意命令执行。
防御方案
01 设置白名单
代码在进行文件包含时,如果文件名可以确定,可以设置白名单对传入的参数进行比较。
02 过滤危险字符
由于Include/Require可以对PHP Wrapper形式的地址进行包含执行(需要配置php.ini),在Linux环境中可以通过”../../”的形式进行目录绕过,所以需要判断文件名称是否为合法的PHP文件。
03 设置文件目录
PHP配置文件中有open_basedir选项可以设置用户需要执行的文件目录,如果设置目录的话,PHP仅仅在该目录内搜索文件。
04 关闭危险配置
PHP配置中的allow_url_include选项如果打开,PHP会通过Include/Require进行远程文件包含,由于远程文件的不可信任性及不确定性,在开发中禁止打开此选项,PHP默认是关闭的。
05 提升安全开发意识
任意文件包含漏洞的主要出现在能够解析处理脚本文件的函数上,没有对输入的变量进行过滤,导致任意文件包含,进而导致恶意代码执行。在开发处理这类功能函数上,一定要遵循编程规范;在代码核心处,对变量进行过滤限制,设置文件路径或者白名单,避免执行任意文件包含。
PHP中有四个加载文件的语句:include、require、include_once、require_once。
PHP中有四个加载文件的语句:include、require、include_once、require_once。
PHP中有四个加载文件的语句:include、require、include_once、require_once。
PHP中有四个加载文件的语句:include、require、include_once、require_once。
PHP中有四个加载文件的语句:include、require、include_once、require_once。
PHP中有四个加载文件的语句:include、require、include_once、require_once。
PHP中有四个加载文件的语句:include、require、include_once、require_once。
浙公网安备 33010602011771号