正确过滤掉LFI

Question

如何在PHP中正确过滤掉本地文件？我一直在寻找，但找不到一个简单的函数来做这件事。据我所知，去掉斜杠是不够的。

Answer 1

永远不要在用户输入上使用include() (或它的相关组件，如require()或readfile())。永远不会。

Answer 2

避免这种情况的最简单的方法就是不要编写来自用户输入的include()代码--通常不需要这样做，只需使用bar.php作为URL，而不是将URL设置为foo.php?page=bar。

如果你一定要这样做，你可以用几种方式进行过滤。白名单很简单：

$ok = array('foo.php', 'bar.php', 'baz.php');
$include = in_array($_GET['page'], $ok) ? $_GET['page'] : 'default.php';
include($include);

这只允许包含文件的预设列表。

或者，您可以使用regexp进行过滤(但这样更容易出错)：

if (preg_match('!^[a-z]+\.php$!', $_GET['page'])){
    include($_GET['page']);
}else{
    include('default.php');
}