Безопасность включения локальных файлов str_replace

Я пытаюсь написать локальный файл включения защищенного файла php. Я нашел хрупкое решение в DVWA, как это:

$file = str_replace( array( "..\\" ), "", $file );

Тогда я сделал шаг вперед и написал это:

 $secure  = $_GET[ 'page' ];
 $secure = str_replace( array( ".", "\\" ), "", $secure );

 if (isset($secure)) 
 {        
   include($secure.'.php');         
 }

Я не мог сломать эту безопасность. Также я никогда не видел, чтобы это использовалось где-либо. Почему никто не использует этот трюк замены для одиночной точки и одиночной обратной косой черты?

php file-inclusion

Источник

user8710549 24 ноя '18 в 10:43

0 ответов

Другие вопросы по тегам php file-inclusion