安全防御之：命令執行漏洞 & 文件包含漏洞 【艾娜】

命令執行漏洞 - 防御：

• 盡量不要使用系統執行命令；

• 在進入執行命令函數/方法之前，變量一定要做好過濾，對敏感字符進行轉義；

• 在使用動態函數之前，確保使用的函數是指定的函數之一；

• 對PHP語言來說，不能完全控制的危險函數最好不要使用。

文件包含漏洞 - 防御：

• 嚴格判斷包含中的參數是否外部可控，因為文件包含漏洞利用成功與否的關鍵點就在于被包含的文件是否可被外部控制；

• 路徑限制：限制被包含的文件只能在某一文件內，一定要禁止目錄跳轉字符，如：“../”；

• 包含文件驗證：驗證被包含的文件是否是白名單中的一員；

• 盡量不要使用動態包含，可以在需要包含的頁面固定寫好，如：include('head.php')。

---------------------------------
縱橫數據 國內高防御服務器租用 美國高防御服務器租用 歡迎聯系在線客服 艾娜QQ  482986990