清理文件名
$incfile = sanitize_file_name($_REQUEST["file"]);
include($incfile . ".php");
在不清理文件名的情况下,攻击者可以简单地将 http:// attacker_site / malicous_page作为输入传递并执行服务器中的任何代码。
$incfile = sanitize_file_name($_REQUEST["file"]);
include($incfile . ".php");
在不清理文件名的情况下,攻击者可以简单地将 http:// attacker_site / malicous_page作为输入传递并执行服务器中的任何代码。