وارد کردن فایل محلی / راه دور یک آسیب پذیری جدی است. بهترین روش برای محافظت در برابر این است که در php.ini تنظیم شود:
allow_url_fopen = Off
allow_url_include = خاموش
open_basedir = / var / www / html
واضح است که اعتبار سنجی مبتنی بر لیست سفید بر روی ورودی کاربر نیز اهمیت دارد، اما توسعه دهندگان اشتباه می کنند و دفاع در عمق کلید است.
حتی با تنظیمات بالا، exploit php: //filter/convert.base64-encode/resource=index.php همچنان کار میکند.
آیا راهی برای غیرفعال کردن php: // در کل جهان یا در هر پی اچ پی چیست؟
