Deutsch
Deutsch
Während der PHP -Entwicklung ist die Funktion highlight_file ein sehr bequemes Werkzeug. Es kann angegebene PHP -Dateien in einem Highlight -Format ausgeben, mit dem Entwickler die Codestruktur und die Syntax schnell angezeigt werden können. Bei der direkten Verwendung von Highlight_file zum direkten Anzeigen der Inhaltsinhalte kann die Sicherheitsprüfung des Dateipfads nicht gut durchgeführt werden, sondern können Sicherheitsrisiken verursachen, z.
In diesem Artikel werden tatsächliche Codebeispiele kombiniert, um die Verwendung der Funktion Highlight_File sicher und effizient einzuführen, um die Hervorhebung von PHP -Dateien sicherzustellen.
Lighlight_file ist eine integrierte PHP-Funktion, die eine angegebene PHP-Datei liest und sie im HTML-Format mit Syntax-Hervorhebung ausgibt. Das Anrufformat lautet wie folgt:
highlight_file('Dateipfad');
Beispiel:
highlight_file('example.php');
Diese Funktion gibt den hervorgehobenen Code standardmäßig direkt aus. Wenn Sie den hervorgehobenen Code in Form einer Zeichenfolge erhalten möchten, können Sie den zweiten Parameter true übergeben.
Wenn der vom Benutzer eingegebene Pfad direkt an lightlight_file übergeben wird, ist es einfach, Pfad -Traversal -Angriffe zu verursachen, z. B. Benutzereingaben:
../../../../etc/passwd
Oder greifen Sie auf sensible Dateien auf dem Server zu, die nicht angezeigt werden sollten, was das Risiko von Datenlecks verursacht. Daher muss der Dateipfad streng gefiltert und verifiziert werden, bevor Sie leuchtet_file aufrufen.
Im Folgenden finden Sie einen Beispielcode, in dem angezeigt wird, wie Sie mit strikten Überprüfungen auf Dateipfaden sicher leuchtet_file aufrufen.
<?php
// Definieren Sie den Stammpfad des Dateiverzeichnisses, der angezeigt werden darf
define('BASE_DIR', __DIR__ . '/php_files/');
// Holen Sie sich den vom Benutzer angeforderten Dateinamen
$file = $_GET['file'] ?? '';
// Grundlegende Sicherheitsinspektion,Vermeiden Sie leere Dateinamen oder enthalten illegale Zeichen
if (empty($file) || preg_match('/[^a-zA-Z0-9_\-\.]/', $file)) {
die('Ungültiger Dateiname');
}
// Der absolute Weg zur Spleißdatei
$filePath = realpath(BASE_DIR . $file);
// Überprüfen Sie weiter, ob sich der Pfad im zulässigen Verzeichnis befindet,Verhindern, dass die Pfade durchqueren
if ($filePath === false || strpos($filePath, realpath(BASE_DIR)) !== 0) {
die('非法Dateipfad');
}
// Überprüfen Sie, ob die Datei existiert und eine normale Datei ist
if (!is_file($filePath)) {
die('Die Datei existiert nicht');
}
// Anrufhighlight_fileAusgabe -Highlight -Code
highlight_file($filePath);
?>
Begrenztes Verzeichnis : Definieren Sie das Root -Verzeichnis, mit dem die Anzeige von Dateien über Base_dir angezeigt werden kann, damit Benutzer nach Belieben auf Systemdateien zugreifen können.
Zeichenüberprüfung : Stellen Sie die Dateinamen so ein, dass nur Buchstaben, Zahlen, Unterstriche, kurze horizontale Zeilen und Punkte enthalten sind und Sonderzeichen ausschließen.
Realpath -Funktion : Parsen und normalisiert den Pfad, um Pfad -Traversal -Angriffe zu verhindern.
PATH -Präfix -Matching : Bestätigen Sie, dass der reale Pfad der Datei mit dem zulässigen Verzeichnis vorangestellt werden muss, um die Umgehung von Beschränkungen zu verhindern.
Überprüfung der Datei -Existenz : Stellen Sie sicher, dass die angegebene Datei vorliegt und eine normale Datei ist.
Angenommen, Sie platzieren die PHP -Dateien, die Sie im Verzeichnis PHP_FILES des Projekts anzeigen können, und verwenden die URL beim Zugriff:
http://gitbox.net/show_code.php?file=test.php
Die Anfrage wird sicher den Inhalt der Datei PHP_FILES/Test.php abgelesen und hervorheben.
Die Verwendung der Funktion highlight_file mit strikter Dateipfadprüfung kann die Sicherheit und Stabilität der Codesrowserfunktion erheblich verbessern und das Risiko eines Pfadübergangs und der sensiblen Dateiverletzung vermeiden. Der Schlüssel zur Best Practice ist:
Begrenzt zugängliches Root -Verzeichnis;
Überprüfen Sie, ob der Dateiname der Legalität entspricht.
Verwenden Sie RealPath als Pfadspezifikation;
Stellen Sie sicher, dass der Dateipfad im angegebenen Verzeichnis enthalten sein muss.
Bestätigen Sie, dass die Datei existiert und eine normale Datei ist.
Ein solch vollständiger Inspektionsprozess gewährleistet nicht nur flexible Code -Anzeige, sondern gewährleistet auch die Serversicherheit.
