这是一个创建于 1674 天前的主题,其中的信息可能已经有所发展或是发生改变。
比如:
function AAA(){
AAA;
}
function BBB(){
BBB;
}
function CCC(){
CCC;
}
以上的代码,假设是一些 php 文件的内容 function 里面带有敏感危险的操作,这些 php 文件,可以直接在站点中输入 url 访问,但按照逻辑,直接访问这些文件,里面的 function 并不会主动执行(已确保所有调用的代码都在登录后执行的)。这种情况下这类功能块文件,不做权限是否安全呢?是否有潜在的风险可以激活这些 function 功能块?
 |
1
3K1yf6UvnVz5w008 2020-04-13 12:11:42 +08:00
同问
|
 |
2
chinvo 2020-04-13 12:12:26 +08:00 via iPhone
理论上 web 入口应该在独立的子目录,这些东西都应该放到非 web 路径里
|
 |
3
alex321 2020-04-13 12:42:22 +08:00  2
你这些 PHP 文件是需要有其他文件来调用执行的吧,这个看下 CI 这类单入口框架的的设计,都有这句:
defined('BASEPATH') or exit('No direct script access allowed'); |
 |
5
cydian 2020-04-13 12:46:56 +08:00 via Android 1
从你的描述来看,
不加,问题不大。 因为所有调用的地方都有验证。 用户不可能直接跳过验证去运行函数。 前面已经验证过一次,后面再验证一次,更加安全,更加放心。 后面不验证,我也觉得没有问题。 |
 |
6
mostkia OP |
|
7
mostkia OP @chinvo 有时候也迫不得已啊,业务结构不是自己定的。虽然因为业务结构原因,直接忽略也是可以的,但问问清楚更放心,也更负责一些,搞懂了没坏处。
|
 |
8
qq292382270 2020-04-13 13:42:36 +08:00 1
参考 discuz 的代码:
可被访问的文件: define('XXXXXX', true); 模块文件: if (!defined('XXXXXX')) { exit('请勿单独访问本页面'); } |
|
9
mostkia OP @qq292382270 好的,谢谢
|
Select Language