【发布时间】:2010-09-12 07:00:11
【问题描述】:
我将有一个应用程序,我会在其中提示用户输入 URL(使用正确的正则表达式 url 验证)并返回带有 cURL 的页面并对其进行一些检查。
使用 cURL 安全返回远程网页的最安全方法是什么?据我了解,即使 cURL 也存在一些漏洞,例如“安全模式”安全绕过 (http://www.securityfocus.com/bid/27413)。
【问题讨论】:
标签: php curl file-get-contents
【发布时间】:2010-09-12 07:00:11
【问题描述】:
SecurityFocus 声称这已在 PHP 5.2.6 中得到修复。如果您无法升级到该版本,则需要手动检查该攻击向量。如果网址前面肯定有“http”,则可以检查您的用户输入,if (substr($url, 0, 7) == 'http://'))
此外,根据this php bug report curl 上的 cmets,您可以选择禁用特定协议,包括本地文件访问,但仅当您从源代码配置和编译时。根据cURL install manual,它必须是这样的(未经测试):
./configure --disable-file
【讨论】: