首页 » 安全知识库 » WEB安全原理 » 文件包含 » 正文

PHP 文件包含代码防御

1,远程文件包含(RFI)防御

vi php.ini
allow_url_include = Off
allow_url_fopen = Off

2,本地文件包含(LFI)防御

2.1 白名单形式验证包含的文件

样例:只允许包含weibo、blog这两个页面。

2.2 过滤特殊字符

过滤常见LFI攻击会用到的字符( . / \ %00 )



 

发表评论