清理檔名
$incfile = sanitize_file_name($_REQUEST["file"]);
include($incfile . ".php");
在不清理檔名的情況下,攻擊者可以簡單地將 http:// attacker_site / malicous_page作為輸入傳遞並執行伺服器中的任何程式碼。
$incfile = sanitize_file_name($_REQUEST["file"]);
include($incfile . ".php");
在不清理檔名的情況下,攻擊者可以簡單地將 http:// attacker_site / malicous_page作為輸入傳遞並執行伺服器中的任何程式碼。