有2個php檔案
1.php
echo '1';
?>
2.php
echo '2';
?>
瀏覽器裡輸入
http://localhost/1.php/2.php
會輸出 1
,為了省去麻煩,我想直接提示瀏覽器地址非法,該怎麼做?
回複討論(解決方案)
但是 http://localhost/1.php/2.php 並不是非法的,為什麼要提示非法呢?
其中的 /2.php 將儲存在 $_SERVER['PATH_INFO'] 變數中
但是 http://localhost/1.php/2.php 並不是非法的,為什麼要提示非法呢?
其中的 /2.php 將儲存在 $_SERVER['PATH_INFO'] 變數中
有安全隱患,因為我在做國外的網店系統,一個類似BUG,可以繞過登入
http://www.crehelp.com/cre-loaded-vulnerability-check-you-are-affected-pg-7.html
直接看訂單情況。
還不知怎麼修複呢
正如樓上說的,不是非法。不過,想實現可挺容易的,擷取輸入url,截取檔案名稱,進行簡單判斷
$url = "http://localhost/1.php/2.php"; $filename = basename($url); if($filename != "1.php"){ echo ""; }
正如樓上說的,不是非法。不過,想實現可挺容易的,擷取輸入url,截取檔案名稱,進行簡單判斷
$url = "http://localhost/1.php/2.php"; $filename = basename($url); if($filename != "1.php"){ echo ""; }
是個方法,可是檔案量太大了,後台檔案太多了,看每一個檔案資訊都可以繞過登入,我勒個去
不清楚用的是什麼,建議做一個防跳牆,單以入口
PS:親,分太低了
How to verify if website is vulnerable?If, for example, you use http://www.example.com/admin/ URL to access store admin, try to open http://www.example.com/admin/orders.php/login.php. If you will not see login screen you are in danger!
如何驗證網站是脆弱的?
如果,例如,你使用http://www.example.com/admin/的URL來訪問儲存管理,嘗試開啟http://www.example.com/admin/orders.php/login.php的。如果你不會看到登入螢幕,你處於危險之中!
而我看到的是
我處於危險之中?
笑話!