當要在防止頁面攻擊時,可在頁面的頭部include防攻擊文件,就像通用防注入文件。我們可以用三種情況來辦到:
1、在每個文件內引用。這樣的文件是可以,不過如果一個網站內有幾百個文件的話就不方便了。
2、在共同包含文件內引用一下,比如 config.inc.php教程。這是一個好辦法,也是目前市場上比較流行的做法。
3、在php.ini中引用。在配置文件內引用的話,將影響到所有的網站,包含所有頁面,這就像當年流行的一些免費空間商,當你免費開通一個ftp空間,上傳網站以後,空間內會出現廣告一樣。不知道是不是這種方法,但是目的是一樣的。這樣做的好處是:如果是一個公司或者是一個企業內部網站的話,即安全,維護也方便。
前兩種方法大家都清楚,第三種就是在php.ini中,找到此節:
;automatically add files before or after any php document.
;auto_prepend_file = "phpids.php"
;auto_append_file = "alert.php"
默認是空,請添加所包含的文件。
同時找到:
;unix: "/path1:/path2"
;include_path = ".:/php/includes"
;
;windows: "path1;path2"
include_path = ".;f:phpnowhtdocs"
因為我的是win環境,所以開啟了windows選項,包含路徑可自由修改。同時,這樣的功能也為我們攻擊也造成了方便,比如掛馬。現在“市場”上也有很多的掛馬技巧,就不多說了。我們可以利用auto_prepend_file選項,來批量掛馬了,可以將整個服務器上的網站掛上,優點為:不影響速度、不修改文件、方法新穎。 缺點為:必須對php.ini有寫權限。
