关注安全问题的重要性
看到的远非全部

阻止用户恶意破坏你的程式最有效却经常被忽略的方法是在写代码时就考虑它的可能性。留意代码中可能的安全问题是很重要的。考虑下边的旨在简化用PHP中写入大量文本文件的过程的实例函数：

<?php
function write_text($filename, $text="") {
static $open_files = array();
// 如果文件名空，关闭全部文件
if ($filename == NULL) {
foreach($open_files as $fr) {
fclose($fr);
}
return true;
}
$index = md5($filename);
if(!isset($open_files[$index])) {
$open_files[$index] = fopen($filename, "a+");
if(!$open_files[$index]) return false;
}
fputs($open_files[$index], $text);
return true;
}
?>

这个函数带有两个缺省参数，文件名和要写入文件的文本。
函数将先检查文件是否已被打开；如果是，将使用原来的文件句柄。否则，将自行创建。在这两种情况中，文本都会被写入文件。
如果传递给函数的文件名是NULL，那么所有打开的文件将被关闭。下边提供了一个使用上的实例。
如果开发者以下边的格式来写入多个文本文件，那么这个函数将清楚和易读的多。
让我们假定这个函数存在于一个单独的文件中，这个文件包含了调用这个函数的代码。
下边是一个这样的程式，我们叫它quotes.php：

<html><body>
<form action="<?=

网站建设|独享带宽服务器|优惠促销机型|付款方式|联系我们

快速业务通道 ++++选择通道++++ 国内服务器厦门电信服务器汕头电信服务器温州电信服务器厦门网通服务器汕头双线服务器美国服务器欧洲服务器美国KT机房服务器美国FDC机房服务器香港服务器新加坡服务器韩国服务器台湾服务器英国服务器德国服务器新加坡Qala机房服务器香港机房服务器法国服务器江苏电信服务器美国TB机房服务器日本服务器河北网通服务器厦门软二服务器台湾机房服务器韩国机房服务器美国ST机房服务器江西电信服务器其他机房服务器菲律宾服务器日本机房服务器菲律宾机房服务器 国内大带宽

• 首页
• 服务器租用
• 服务器托管
• 海外服务器
• 带宽租用
• 企业邮局
• 增值服务

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 厦门电信服务器
• 汕头电信服务器
• 厦门网通服务器
• 汕头双线服务器
• 江西电信服务器
• 百M独享服务器
• 国外服务器
• 香港服务器
• 美国服务器
• 其他机房

• 厦门电信托管
• 厦门网通托管
• 汕头电信托管
• 汕头双线托管

• 美国KT服务器
• 美国FDC服务器
• 美国TB服务器
• 美国ST服务器
• 欧洲服务器
• 香港服务器
• 台湾服务器
• 日本服务器
• 新加坡服务器
• 韩国服务器
• 菲律宾服务器

• 国内百独服务器
• 香港10M独享
• 美国不限流量服务器

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 首 页
• IDC资讯
• 网站运营
• 网赚联盟
• 程序设计
• Web编程
• 网页制作
• 数据库
• 软件技巧
• 服务器技术
• 操作系统
• 网络技术
• 脚本技术

技术文章 > Web编程 > PHP编程 > 正文

文件 -1 text win2 服务 域名

PHP 安全及相关 作者 佚名技术 来源 NET编程 浏览 发布时间 2012-05-26 content 凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢! 1234下一页 分享到： 更多 你可能对下面的文章感兴趣 谈谈新手做网站时容易陷入的几个误区 提示用户通过键盘输入一个用户名，来判断这个用户是否存在，如果存在就显示一下用户默认的shell 解决MySQL数据库拒绝服务的小方法 函数调用的几个概念 Flash AS3教程：Waterfall打造瀑布效果教程 链接mysql的一个问题 linux SSHD客户端中文乱码解决 prism v2之旅(7) 初探Java类加载机制的奥秘 - 编程入门网 通过实例论证J2ME的事件传输机制 - 编程入门网 上一篇: 关于unserialize的问题下一篇: PHP5.2下preg_replace函数的问题 关于PHP 安全及相关的所有评论 昵称 评论内容

随机推荐 全球好IDC交流论坛 厦门服务器租用 香港服务器租用 美国服务器租用 163美丽网 流行发型大全 丝袜美腿诱惑 维权防骗网 相关文章 在Struts 2中使用JSON插件 - 编程入门网 使用钢笔工具绘制曲线路径 每天一个知识点linux(七)磁盘操作命令 Linux下架设rsync服务器 Hibernate实现Struts分页中的分页处理 - 编程入门网 QQ消息也可以指定时间批量发送啦 Apache 性能最优化分析(7) Photoshop渲染滤镜制作彩色冰裂纹 网络中流行的PHP分页效果 利用ghost备份还原linux 真正意义上我写的第一个shell，纪念一下 自己动手提高ubuntu系统的性能 改变公共对话框的内容 用Vector进行深层复制 - 编程入门网 Photoshop入门实例(3):照片裁剪和照片大小处理 CNTV希望回购COM域名 称会走商务手段 PS绘制简单而又有漂亮的wordpress模版 IIS6下部署ASP.NET MVC应用程序 linux内核管理 Photoshop鼠绘教程:绘制纯美的天使画面

关于我们|联系我们|合作伙伴|工作机会|付款方式|网站地图

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD)：厦门软件园二期望海路63号701E（东南融通旁） 邮编(ZIP)：361008

电话：0592-5908028 传真：0592-5908039 咨询信箱：web@lingzhong.cn 咨询OICQ：173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号

<?php
include_once(''write_text.php'');
$filename = "/home/web/quotes/{

网站建设|独享带宽服务器|优惠促销机型|付款方式|联系我们

快速业务通道 ++++选择通道++++ 国内服务器厦门电信服务器汕头电信服务器温州电信服务器厦门网通服务器汕头双线服务器美国服务器欧洲服务器美国KT机房服务器美国FDC机房服务器香港服务器新加坡服务器韩国服务器台湾服务器英国服务器德国服务器新加坡Qala机房服务器香港机房服务器法国服务器江苏电信服务器美国TB机房服务器日本服务器河北网通服务器厦门软二服务器台湾机房服务器韩国机房服务器美国ST机房服务器江西电信服务器其他机房服务器菲律宾服务器日本机房服务器菲律宾机房服务器 国内大带宽

• 首页
• 服务器租用
• 服务器托管
• 海外服务器
• 带宽租用
• 企业邮局
• 增值服务

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 厦门电信服务器
• 汕头电信服务器
• 厦门网通服务器
• 汕头双线服务器
• 江西电信服务器
• 百M独享服务器
• 国外服务器
• 香港服务器
• 美国服务器
• 其他机房

• 厦门电信托管
• 厦门网通托管
• 汕头电信托管
• 汕头双线托管

• 美国KT服务器
• 美国FDC服务器
• 美国TB服务器
• 美国ST服务器
• 欧洲服务器
• 香港服务器
• 台湾服务器
• 日本服务器
• 新加坡服务器
• 韩国服务器
• 菲律宾服务器

• 国内百独服务器
• 香港10M独享
• 美国不限流量服务器

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 首 页
• IDC资讯
• 网站运营
• 网赚联盟
• 程序设计
• Web编程
• 网页制作
• 数据库
• 软件技巧
• 服务器技术
• 操作系统
• 网络技术
• 脚本技术

技术文章 > Web编程 > PHP编程 > 正文

文件 -1 text win2 服务 域名

PHP 安全及相关 作者 佚名技术 来源 NET编程 浏览 发布时间 2012-05-26 content 凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢! 1234下一页 分享到： 更多 你可能对下面的文章感兴趣 谈谈新手做网站时容易陷入的几个误区 提示用户通过键盘输入一个用户名，来判断这个用户是否存在，如果存在就显示一下用户默认的shell 解决MySQL数据库拒绝服务的小方法 函数调用的几个概念 Flash AS3教程：Waterfall打造瀑布效果教程 链接mysql的一个问题 linux SSHD客户端中文乱码解决 prism v2之旅(7) 初探Java类加载机制的奥秘 - 编程入门网 通过实例论证J2ME的事件传输机制 - 编程入门网 上一篇: 关于unserialize的问题下一篇: PHP5.2下preg_replace函数的问题 关于PHP 安全及相关的所有评论 昵称 评论内容

随机推荐 全球好IDC交流论坛 厦门服务器租用 香港服务器租用 美国服务器租用 163美丽网 流行发型大全 丝袜美腿诱惑 维权防骗网 相关文章 在Struts 2中使用JSON插件 - 编程入门网 使用钢笔工具绘制曲线路径 每天一个知识点linux(七)磁盘操作命令 Linux下架设rsync服务器 Hibernate实现Struts分页中的分页处理 - 编程入门网 QQ消息也可以指定时间批量发送啦 Apache 性能最优化分析(7) Photoshop渲染滤镜制作彩色冰裂纹 网络中流行的PHP分页效果 利用ghost备份还原linux 真正意义上我写的第一个shell，纪念一下 自己动手提高ubuntu系统的性能 改变公共对话框的内容 用Vector进行深层复制 - 编程入门网 Photoshop入门实例(3):照片裁剪和照片大小处理 CNTV希望回购COM域名 称会走商务手段 PS绘制简单而又有漂亮的wordpress模版 IIS6下部署ASP.NET MVC应用程序 linux内核管理 Photoshop鼠绘教程:绘制纯美的天使画面

关于我们|联系我们|合作伙伴|工作机会|付款方式|网站地图

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD)：厦门软件园二期望海路63号701E（东南融通旁） 邮编(ZIP)：361008

电话：0592-5908028 传真：0592-5908039 咨询信箱：web@lingzhong.cn 咨询OICQ：173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号

网站建设|独享带宽服务器|优惠促销机型|付款方式|联系我们

快速业务通道 ++++选择通道++++ 国内服务器厦门电信服务器汕头电信服务器温州电信服务器厦门网通服务器汕头双线服务器美国服务器欧洲服务器美国KT机房服务器美国FDC机房服务器香港服务器新加坡服务器韩国服务器台湾服务器英国服务器德国服务器新加坡Qala机房服务器香港机房服务器法国服务器江苏电信服务器美国TB机房服务器日本服务器河北网通服务器厦门软二服务器台湾机房服务器韩国机房服务器美国ST机房服务器江西电信服务器其他机房服务器菲律宾服务器日本机房服务器菲律宾机房服务器 国内大带宽

• 首页
• 服务器租用
• 服务器托管
• 海外服务器
• 带宽租用
• 企业邮局
• 增值服务

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 厦门电信服务器
• 汕头电信服务器
• 厦门网通服务器
• 汕头双线服务器
• 江西电信服务器
• 百M独享服务器
• 国外服务器
• 香港服务器
• 美国服务器
• 其他机房

• 厦门电信托管
• 厦门网通托管
• 汕头电信托管
• 汕头双线托管

• 美国KT服务器
• 美国FDC服务器
• 美国TB服务器
• 美国ST服务器
• 欧洲服务器
• 香港服务器
• 台湾服务器
• 日本服务器
• 新加坡服务器
• 韩国服务器
• 菲律宾服务器

• 国内百独服务器
• 香港10M独享
• 美国不限流量服务器

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 首 页
• IDC资讯
• 网站运营
• 网赚联盟
• 程序设计
• Web编程
• 网页制作
• 数据库
• 软件技巧
• 服务器技术
• 操作系统
• 网络技术
• 脚本技术

技术文章 > Web编程 > PHP编程 > 正文

文件 -1 text win2 服务 域名

PHP 安全及相关 作者 佚名技术 来源 NET编程 浏览 发布时间 2012-05-26 content 凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢! 1234下一页 分享到： 更多 你可能对下面的文章感兴趣 谈谈新手做网站时容易陷入的几个误区 提示用户通过键盘输入一个用户名，来判断这个用户是否存在，如果存在就显示一下用户默认的shell 解决MySQL数据库拒绝服务的小方法 函数调用的几个概念 Flash AS3教程：Waterfall打造瀑布效果教程 链接mysql的一个问题 linux SSHD客户端中文乱码解决 prism v2之旅(7) 初探Java类加载机制的奥秘 - 编程入门网 通过实例论证J2ME的事件传输机制 - 编程入门网 上一篇: 关于unserialize的问题下一篇: PHP5.2下preg_replace函数的问题 关于PHP 安全及相关的所有评论 昵称 评论内容

随机推荐 全球好IDC交流论坛 厦门服务器租用 香港服务器租用 美国服务器租用 163美丽网 流行发型大全 丝袜美腿诱惑 维权防骗网 相关文章 在Struts 2中使用JSON插件 - 编程入门网 使用钢笔工具绘制曲线路径 每天一个知识点linux(七)磁盘操作命令 Linux下架设rsync服务器 Hibernate实现Struts分页中的分页处理 - 编程入门网 QQ消息也可以指定时间批量发送啦 Apache 性能最优化分析(7) Photoshop渲染滤镜制作彩色冰裂纹 网络中流行的PHP分页效果 利用ghost备份还原linux 真正意义上我写的第一个shell，纪念一下 自己动手提高ubuntu系统的性能 改变公共对话框的内容 用Vector进行深层复制 - 编程入门网 Photoshop入门实例(3):照片裁剪和照片大小处理 CNTV希望回购COM域名 称会走商务手段 PS绘制简单而又有漂亮的wordpress模版 IIS6下部署ASP.NET MVC应用程序 linux内核管理 Photoshop鼠绘教程:绘制纯美的天使画面

关于我们|联系我们|合作伙伴|工作机会|付款方式|网站地图

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD)：厦门软件园二期望海路63号701E（东南融通旁） 邮编(ZIP)：361008

电话：0592-5908028 传真：0592-5908039 咨询信箱：web@lingzhong.cn 咨询OICQ：173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号

如同你看到的，这位开发者使用了write_text()函数来创建一个体系使得用户可以提交他们喜欢的格言，这些格言将被存放在一个文本文件中。
不幸的是，开发者可能没有想到，这个程式也允许了恶意用户危害web server的安全。
也许现在你正挠着头想着究竟这个看起来很无辜的程式怎样引入了安全风险。
如果你看不出来，考虑下边这个URL，记住这个程式叫做quotes.php：

http://www.somewhere.com/fun/quotes.php?quote=different_file.dat&quote_text=garbage+data

当这个URL传递给web server 时将会发生什么？

显然，quotes.php将被执行，但是，不是将一句格言写入到我们希望的三个文件中之一，相反的，一个叫做different_file.dat的新文件将被建立，其中包含一个字符串garbage data。

显然，这不是我们希望的行为，恶意用户可能通过把quote指定为../../../etc/passwd来访问UNIX密码文件从而创建一个帐号（尽管这需要web server以superuser运行程式，如果是这样的，你应该停止阅读，马上去修复它）。
如果/home/web/quotes/可以通过浏览器访问，可能这个程式最严重的安全问题是它允许任何用户写入和运行任意PHP程式。这将带来无穷的麻烦。

这里有一些解决方案。如果你只需要写入目录下的一些文件，可以考虑使用一个相关的数组来存放文件名。如果用户输入的文件存在于这个数

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!