0
是否認爲自動將每個php文件包含在特定文件夾中都存在安全漏洞?PHP:將文件夾中的每個文件自動包含到文件夾中是否安全
我正在開發一個WordPress主題框架,我將在各種項目中使用,我希望能夠爲這個主題創建模塊作爲單獨的文件,以便每個項目都可以擁有自己的模塊。我希望能夠簡單地將一個模塊放入一個文件夾中,它將起作用。
下面是init.php文件的內容,它被包含在主要主題類中。它的偉大工程,我只是想確保有在我的做法沒有明顯的顧慮:
foreach (scandir(dirname(__FILE__)) as $filename) {
$path = dirname(__FILE__) . '/' . $filename;
if (is_file($path) && $filename != 'init.php' && substr($filename, -4) == '.php') {
require_once($path);
}
}
作爲一名開發人員,尤其是開發將最終被別人使用的代碼的開發人員,我的觀察是,如果任何事情都可能出錯,它會。如果有人可以做倒退,側身或顛倒的事情,他們會。如果你打算採用這種方法,你應該使用某種文件名前綴,並確保在包含它們之前檢查文件名。 –