网络安全原理与应用：文件包含简介.pptx

第7章 Web应用安全文件包含简介目标要求Objectives了解文件包含攻击的基本概念；了解文件包含攻击的基本方法；文件包含简介一、文件包含的基本概念1、文件包含：程序开发人员通常会把可重复使用的函数写到单个文件中，在使用某些函数时，直接调用此文件，而无须再次编写，这种调用文件的过程一般称为文件包含。2、文件包含漏洞：程序开发人员都希望代码更加灵活，所以通常会将被包含的文件设置为变量，用来进行动态调用。文件包含漏洞产生的原因正是函数通过变量引入文件时，没有对传入的文件名进行合理的校验，从而操作了预想之外的文件，这样就导致意外的文件泄漏甚至恶意的代码注入。文件包含简介一、文件包含的基本概念PHP中提供文件包含的函数：Include()：找不到被包含的文件时只产生警告，脚本继续执行Include_once()：与include()类似，区别是如果文件中的代码已经被包含，则不会再次包含require()：找不到被包含的文件时会产生致命错误，脚本停止执行require_once()：与require()类似，区别是如果文件中的代码已经被包含，则不会再次包含漏洞利用条件：Include()等函