操蛋,修複BUG,請問怎麼修複這個bug

來源:互聯網
上載者:User
有2個php檔案

1.php
echo '1';
?>

2.php
echo '2';
?>
瀏覽器裡輸入
http://localhost/1.php/2.php

會輸出 1

,為了省去麻煩,我想直接提示瀏覽器地址非法,該怎麼做?


回複討論(解決方案)

但是 http://localhost/1.php/2.php 並不是非法的,為什麼要提示非法呢?
其中的 /2.php 將儲存在 $_SERVER['PATH_INFO'] 變數中

但是 http://localhost/1.php/2.php 並不是非法的,為什麼要提示非法呢?
其中的 /2.php 將儲存在 $_SERVER['PATH_INFO'] 變數中
有安全隱患,因為我在做國外的網店系統,一個類似BUG,可以繞過登入
http://www.crehelp.com/cre-loaded-vulnerability-check-you-are-affected-pg-7.html
直接看訂單情況。
還不知怎麼修複呢

正如樓上說的,不是非法。不過,想實現可挺容易的,擷取輸入url,截取檔案名稱,進行簡單判斷

  $url = "http://localhost/1.php/2.php";  $filename = basename($url);  if($filename != "1.php"){      echo "";  }

正如樓上說的,不是非法。不過,想實現可挺容易的,擷取輸入url,截取檔案名稱,進行簡單判斷

  $url = "http://localhost/1.php/2.php";  $filename = basename($url);  if($filename != "1.php"){      echo "";  }

是個方法,可是檔案量太大了,後台檔案太多了,看每一個檔案資訊都可以繞過登入,我勒個去

不清楚用的是什麼,建議做一個防跳牆,單以入口

PS:親,分太低了

How to verify if website is vulnerable?If, for example, you use http://www.example.com/admin/ URL to access store admin, try to open http://www.example.com/admin/orders.php/login.php. If you will not see login screen you are in danger!
如何驗證網站是脆弱的?

如果,例如,你使用http://www.example.com/admin/的URL來訪問儲存管理,嘗試開啟http://www.example.com/admin/orders.php/login.php的。如果你不會看到登入螢幕,你處於危險之中!

而我看到的是

我處於危險之中?
笑話!
  • 聯繫我們

    該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

    如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

    A Free Trial That Lets You Build Big!

    Start building with 50+ products and up to 12 months usage for Elastic Compute Service

    • Sales Support

      1 on 1 presale consultation

    • After-Sales Support

      24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.