比如:
function AAA(){
AAA;
}
function BBB(){
BBB;
}
function CCC(){
CCC;
}
以上的代码,假设是一些 php 文件的内容 function 里面带有敏感危险的操作,这些 php 文件,可以直接在站点中输入 url 访问,但按照逻辑,直接访问这些文件,里面的 function 并不会主动执行(已确保所有调用的代码都在登录后执行的)。这种情况下这类功能块文件,不做权限是否安全呢?是否有潜在的风险可以激活这些 function 功能块?
 |
1
3K1yf6UvnVz5w008 Apr 13, 2020
同问
|
 |
2
chinvo Apr 13, 2020 via iPhone
理论上 web 入口应该在独立的子目录,这些东西都应该放到非 web 路径里
|
 |
3
alex321 Apr 13, 2020  2
你这些 PHP 文件是需要有其他文件来调用执行的吧,这个看下 CI 这类单入口框架的的设计,都有这句:
defined('BASEPATH') or exit('No direct script access allowed'); |
 |
5
cydian Apr 13, 2020 via Android 1
从你的描述来看,
不加,问题不大。 因为所有调用的地方都有验证。 用户不可能直接跳过验证去运行函数。 前面已经验证过一次,后面再验证一次,更加安全,更加放心。 后面不验证,我也觉得没有问题。 |
 |
6
mostkia OP |
 |
8
qq292382270 Apr 13, 2020 1
参考 discuz 的代码:
可被访问的文件: define('XXXXXX', true); 模块文件: if (!defined('XXXXXX')) { exit('请勿单独访问本页面'); } |
|
9
mostkia OP @qq292382270 好的,谢谢
|
Select Language