Fatal编程技术网
  • php/
  • 如果人们知道我的.php文件的名称,他们可以做什么?

如果人们知道我的.php文件的名称,他们可以做什么?

php jquery file security

如果人们知道我的.php文件的名称,他们可以做什么?,php,jquery,file,security,Php,Jquery,File,Security,我使用jquery加载一些文件: $("#mUm").load("drop_menu_loop.php"); 在这个文件中,我有一个foreach循环和require_once'database_config.php' 这个问题可能很愚蠢,但我有点不安全,所以我想问 我不应该用jquery加载什么样的代码?您应该能够用jquery加载任何您想加载的代码,因为您将在PHP脚本中加载,这些都是服务器端的。现在,如果有人知道您的PHP文件的位置,他们可以做的一件事就是向修改数据库的页面发送POST请

我使用jquery加载一些文件:

$("#mUm").load("drop_menu_loop.php");
在这个文件中,我有一个
foreach
循环和
require_once'database_config.php'

这个问题可能很愚蠢,但我有点不安全,所以我想问


我不应该用jquery加载什么样的代码?
您应该能够用jquery加载任何您想加载的代码,因为您将在PHP脚本中加载,这些都是服务器端的。现在,如果有人知道您的PHP文件的位置,他们可以做的一件事就是向修改数据库的页面发送POST请求,但是,这些页面中的许多已经从您的表单中公开。您可以通过向站点添加CSRF保护方法来防止这种情况

根web目录中的任何目录都不是私有的,因此无论如何添加这些保护措施都很重要

总之,通过JQuery加载您想要的任何内容


希望这有帮助
 您应该能够使用JQuery加载任何您想要的内容,因为您将在PHP脚本中加载,而这些脚本都是服务器端的。现在,如果有人知道您的PHP文件的位置,他们可以做的一件事就是向修改数据库的页面发送POST请求,但是,这些页面中的许多已经从您的表单中公开。您可以通过向站点添加CSRF保护方法来防止这种情况

根web目录中的任何目录都不是私有的,因此无论如何添加这些保护措施都很重要

总之,通过JQuery加载您想要的任何内容


希望这有帮助
 很难说,因为我们不知道php文件的内容是什么。如果其中包含任何可能危害数据库和/或文件的内容,那么我们需要知道这里真正要处理的是什么。这方面的问题我不清楚,这个问题很容易误导你自己。真正的问题应该是我的服务器上有哪些资源可以通过web访问。始终假定人们确切地知道您的公共目录中有哪些文件,并且可以向您的web服务器请求其中的任何文件。@FunkFortyNiner我确实说过我的php文件中的内容,一个数据库配置示例:
$username:$密码:…,$hostname:…
,并使用
foreach
循环执行
select
查询。很难说,因为我们不知道php文件的内容是什么。如果其中包含任何可能危害数据库和/或文件的内容,那么我们需要知道这里真正要处理的是什么。这方面的问题我不清楚,这个问题很容易误导你自己。真正的问题应该是我的服务器上有哪些资源可以通过web访问。始终假定人们确切地知道您的公共目录中有哪些文件,并且可以向您的web服务器请求其中的任何文件。@FunkFortyNiner我确实说过我的php文件中的内容,一个数据库配置示例:
$username:$密码:…,$hostname:…
,并使用
foreach
循环进行
选择
查询。
可能会向那些修改数据库的页面发送POST请求
您能提供更多信息吗?您是在谈论sql注入吗?@user236945896因此,对于许多具有表单的PHP网站,在提交这些表单时,将向某个位置发送请求。位置取决于
操作
属性,方法取决于
方法
属性。假设我们有
当您单击提交时,
login.php
获取一个post请求,其中有一个脚本从该post请求中获取数据(
$\u post['data'];
)并使用它向数据库发送查询。有人可以从他们自己的服务器发送请求,而不是查看您的表单。这可能是恶意的一种方式是垃圾邮件。我在谷歌上搜索了CSRF,我找到的大多数文章都谈到了一个带有
method GET
的恶意链接,“认证”用户(受害者)应该点击,例如:
http://bank.co/transfer.do?acct=HACKER&amount=500
,我不知道CSRF会如何影响我的数据库…@user236945896,因此页面
bank.co/transfer.do
将接受请求,在这种情况下,获取并使用这些请求中的数据在数据库中发送。这将如何影响你的数据库将是一个查询被发送到你的数据库添加500美元到黑客的帐户。有时,黑客的行为可能更为恶意,例如,如果您没有服务器端保护,他们甚至可以在未登录的情况下修改其他用户的数据,则执行SQL注入攻击。@user236945896是的,很抱歉造成混淆。当我说修改数据库时,我的意思是,用户帐户安全,而不是修改实际的表。我的错。
可能会向修改数据库的页面发送POST请求
您能提供更多信息吗?您是在谈论sql注入吗?@user236945896因此,对于许多具有表单的PHP网站,在提交这些表单时,将向某个位置发送请求。位置取决于
操作
属性,方法取决于
方法
属性。假设我们有
当您单击提交时,
login.php
获取一个post请求,其中有一个脚本从该post请求中获取数据(
$\u post['data'];
)并使用它向数据库发送查询。有人可以从他们自己的服务器发送请求,而不是查看您的表单。这可能是恶意的一种方式是垃圾邮件。我在谷歌上搜索了CSRF,我找到的大多数文章都谈到了一个带有
method GET
的恶意链接,“认证”用户(受害者)应该点击,例如:
http://bank.co/transfer.do?acct=HACKER&amount=500
,我不知道CSRF会如何影响我的数据库…@user236945896所以页面