PHP:是否有包含/需要远程源文件的逻辑用例?
我唯一一次考虑使用include(“”)时,会把它看作某种奇怪的服务器内服务接口,但即使这样,我也能想出一百万种更安全的方法来完成同样的事情。不过,我的具体问题是,有没有人在生产环境中见过remote Include,这样做有意义吗 编辑:PHP:是否有包含/需要远程源文件的逻辑用例?,php,security,Php,Security,我唯一一次考虑使用include(“”)时,会把它看作某种奇怪的服务器内服务接口,但即使这样,我也能想出一百万种更安全的方法来完成同样的事情。不过,我的具体问题是,有没有人在生产环境中见过remote Include,这样做有意义吗 编辑: 为了澄清一些事情,我会对任何试图在我工作的生产环境中使用remote Include的人造成身体伤害。。。所以是的,我知道这是一个噩梦般的安全漏洞。只是想弄清楚为什么它仍然存在,而不是像魔术引号和全局变量这样的奇怪想法。远程文件执行是极其危险的。。。我从来没
为了澄清一些事情,我会对任何试图在我工作的生产环境中使用remote Include的人造成身体伤害。。。所以是的,我知道这是一个噩梦般的安全漏洞。只是想弄清楚为什么它仍然存在,而不是像魔术引号和全局变量这样的奇怪想法。远程文件执行是极其危险的。。。我从来没有在我的服务器上使用过它,我无法想象有什么正当的理由把你的球放进别人控制的篮子里。那只是要求被黑客攻击 不,我没有。这会让人大吃一惊。虽然我在现实生活中从未见过这种情况,但我可以想象一个拥有独立物理服务器、没有共享文件系统的农场。您可能有一台服务器包含所有代码ie api.domain.com,而其他服务器则包含其中的代码。如果您有数十个或数百个独立的站点,那么部署将更加容易。但正如alex所说,它要求被黑客攻击。我想,包含/需要远程文件的可能性是由PHP 4.0.x引入的 尽管如此,考虑到远程包含的安全风险,PHP 5.2中引入了一个新的指令:现在,这个指令决定是否可以远程包含/请求,而第一个指令只影响fopen等——这很好:它允许管理员禁用远程包含,同时保持远程打开
和其他人一样,我从未见过在实际场景中使用远程请求/包含,当然,我经常看到使用远程打开的情况——糟糕的是,我有时看到服务器由于不再存在的安全原因而禁用了
allow\u url\u fopen