文件包含漏洞—allow_url_fopen和allow_url_include详解

文件包含漏洞_allow_url_fopen和allow_url_include详解

提要：在文件包含漏洞中，PHP脚本环境中php.ini文件中通常会涉及到这两个参数，两个参数的开启或关闭影响文件包含漏洞的利用。

1，参数简介：

allow_url_fopen参数（只影响RFI，不影响LFI）

简介：是否允许将URL（HTTP，HTTPS等）作为文件打开处理

allow_url_include参数（只影响RFI，不影响LFI）
简介：是否允许includeI()和require()函数包含URL（HTTP，HTTPS）作为文件处理

2，验证：

本地创建文件内容为<?php phpinfo?>的文件123.txt，

当allow_url_fopen=Off和allow_url_include=Off或allow_url_fopen=Off和allow_url_include=On时，文件包含失败：

当allow_url_fopen=On和allow_url_include=On时，include等其他包含函数才会将URL代表的文件包含执行，文件包含成功:

3，总结：

只有当allow_url_fopen=On和allow_url_include=On时，include等其他包含函数才会将URL代表的文件包含执行

参考文章

allow_url_fopen 和 allow_url_include
allow_url_include和allow_url_fopen 详解