$include_file 可控,可以上传文件, 上传后缀限制为jpg,gif,png,包含后缀限制必须为.php
北塔网站制作公司哪家好,找创新互联公司!从网页设计、网站建设、微信开发、APP开发、响应式网站等网站项目制作,到程序开发,运营维护。创新互联公司自2013年起到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选创新互联公司。
allow_url_include=Off (不考虑远程包含)
网站设计包含服务
网站制作流程
有效沟通方式
售后服务
+ 品牌创意
+ 宣传视频
+ 大陆官网
+ 外贸官网
+ 移动应用
+ 形象设计
网站建设
网站优化
网站制作
网站制作
网络营销
网站维护
公司简介
我们的观点
为什么选择我们
企业文化
支付方式
联系方式
在线留言
提交意向表
在线客服
来访路线if ( isset( $include_file ) && strtolower( substr( $include_file, -4 ) ) == ".php" )
{
include_once( $include_file );
}-----------------------------------------------------
解决方案
要求php>=5.3
把php打包成zip,改名上传,比如名为info.zip.jpg
然后用phar流包装器包含,其中info.zip.jpg为zip文件名,info.php为zip压缩包内子文件名
http://localhost/index.php?a=phar://info.zip.jpg/info.php
测试代码:
echo "ini_get(allow_url_include):".ini_get("allow_url_include")."";
$include_file=$_GET['a'];
if ( isset( $include_file ) && strtolower( substr( $include_file, -4 ) ) == ".php" )
{
include_once( $include_file );
}
else
{
echo "file err";
}
参考文档:http://php.net/manual/zh/phar.using.stream.php
PS.
据php官方文档所述,最少需要php5.3才能使用,5.3之前需要拓展
如果不能用的话,还可以试试zip流包装器(需要zip拓展),注意转义井号:
zip://info.zip.jpg#info.php
售后响应及时
7×24小时客服热线
数据备份
更安全、更高效、更稳定
价格公道精准
项目经理精准报价不弄虚作假
合作无风险
重合同讲信誉,无效全额退款
