關于腳本安全這個話題好像永遠沒完沒了，如果你經常到國外的各種各樣的bugtraq上，你會發現有一半以上都和腳本相關，諸如SQL injection,XSS,Path Disclosure,Remote commands execution這樣的字眼比比皆是，我們看了之后的用途難道僅僅是抓肉雞？對于我們想做web安全的人來說，最好就是拿來學習，可是萬物抓根源，我們要的不是魚而是漁。在國內，各種各樣的php程序1.0版,2.0版像雨后春筍一樣的冒出來，可是，大家關注的都是一些著名的cms,論壇,blog程序，很少的人在對那些不出名的程序做安全檢測，對于越來越多的php程序員和站長來說，除了依靠服務器的堡壘設置外，php程序本身的安全多少你總得懂點吧。

有人說你們做php安全無非就是搞搞注入和跨站什么什么的，大錯特錯，如果這樣的話，一個magic_quotes_gpc或者服務器里的一些安全設置就讓我們全沒活路了。我今天要說的不是注入，不是跨站，而是存在于php程序中的一些安全細節問題。OK!切入正題。

注意一些函數的過濾

有些函數在程序中是經常使用的,像include(),require(),fopen(),fwrite(),readfile(),unlink(),eval()以及它們的變體函數等等。這些函數都很實用，實用并不代表讓你多省心，你還得為它們多費點心。

1、include(),require()和fopen(),include_once(),require_once()這些都可以遠程調用文件，對于它們的危害，google搜一下你就會很明了，對于所包含調用的變量沒過濾好，就可以任意包含文件從而去執行。舉個例子，看print.php

以下為引用的內容：
...
if (empty ($bn) ) { //檢查是變量$bn是否為空
include ("$cfg_dir/site_${site}.php"); //把$cfg_dir這個路徑里的site_${site}.php包含進來
... 

不管存不存在$cfg_dir目錄，$site這個變量你可以很自然的去使用，因為他根本沒檢查$site變量啊。可以把變量$site指定遠程文件http://evil.com/cmd.gif去調用，也可以是本地的一個文件，你所指定的文件里寫上php的語句，然后它就去包含執行這個含有php語句的文件了。

列出文件目錄

甚至可以擴展到包含一些管理員文件，提升權限，典型的像以前phpwind,bo-blog的漏洞一樣。除了依靠php.ini里的allow_url_fopen設為off禁止遠程使用文件和open_base_dir禁止使用目錄以外的文件外，你還得事先聲明好只能包含哪些文件，這里就不多說廢話了。

2、fopen(),file(),readfile(),openfile(),等也是該特別留意的地方。函數本身并沒什么,它們的作用是去打開文件，可是如果對變量過濾不徹底的話，就會泄露源代碼。這樣的函數文本論壇里會有很多。 

以下為引用的內容：
...
$articlearray=openfile("$dbpath/$fid/$tid.php"); //打開$dbpath/$fid這個路徑的$tid.php文件
$topic_detail=explode("|",$articlearray[0]); //用分割符|讀出帖子的內容
... 

很眼熟吧，這是ofstar以前版本的read.php,$fid和$tid沒有任何過濾，$tid指定為某個文件提交，就發生了原代碼泄露。

http://explame.com/ofstar/read.php?fid=123&tid=../index Chinaz~com

$tid會被加上php的后綴，所以直接寫index。