Защита от удаленного инклуда

Чтобы защититься от удаленного инклуда, рекомендуется перечислить все допустимые названия страниц в программе с использованием инструкции множественного выбора (switch case). Вот небольшой пример:

Также можно использовать функцию str_replace которая фильтрует нежелательные символы
Кроме того, следует отредактировать файл php.ini следующем образом

allow_url_include = Off  // Запрещаем удаленно инклудить файлы
allow_url_fopen = off // Запрещаем fopen открывать ссылки
register_globals = Off // Отключаем инициализацию глобальных переменых
magic_quotes_gpc = on // защита от ядовитого нуля (%00)
safe_mode = on // Включение данного параметра нидает хакеру доступ к файлу /etc/passwd/ и ему подобным

Отправить комментарий