安全包括php

Question

這是安全的嗎？或者是否有可能使用一些RFI/LFI或者它叫什麼？

$request_uri = explode('/', $_SERVER['REQUEST_URI']); 
$script_name = explode('/', $_SERVER['SCRIPT_NAME']); 

for ($i = 0; $i < sizeof($script_name); $i++) { 
    if ($request_uri[$i] == $script_name[$i]) 
    { 
     unset($request_uri[$i]); 
    } 
} 

$command = array_values($request_uri); 

if (file_exists('controllers/' . $command[0] . '.php')) { 
    include 'controllers/' . $command[0] . '.php'; 
} 

更新：

if (isset($_GET['p'])) { 
    $pages = array('home', 'login', 'register'); 
    $page = filter_var($_GET['p'], FILTER_SANITIZE_URL); 

    if (in_array($page, $pages) && file_exists($page . '.php')) { 
     include ($page . '.php'); 
    } else { 
     include ('404.php'); 
    } 
} 
else { 
    include ('home.php'); 
} 

Answer 1

您的代碼輸送由用戶PHP的include提供任意字符串;這是不好的，幾乎是一個教科書的例子https://www.owasp.org/index.php/Server-Side_Includes_(SSI)_Injection

你想解決什麼問題需要這個？

Answer 2

那麼，如果你確保$command[0]只包含字母數字字符（以及可能的下劃線和連字符），那麼可能有點安全。

像下面可能做的工作：

if (!ctype_alnum($command[0])) { 
    // Hacking attempt! 
    exit; 
} 

但它仍然是一個壞主意，包括基於用戶輸入的文件。更好的方法是使用將URI映射到控制器的查找表，並使用自動加載來包含相關文件。這樣，用戶輸入和包含之間就有了很大的分離。