Remote Включите в PHP

Question

Я видел сообщение от пользователя:

Поскольку многие пользователи не могут изменять APACHE конфигурации или использовать HTAccess файлы, лучший способ, чтобы избежать нежелательного доступа для включения файлов будет линия в начале включаемого файла-:

<?php if (!defined('APPLICATION')) exit; ?>

И во всех файлах, которые позволили назвать наружно:

<?php define('APPLICATION', true); ?>

Balu 

Я не знаю, почему мы должны сделать это, когда мы можем установить allow_url_include = ложь в php.ini

Также хакер может определить ЗАЯВКА у него есть собственный сценарий и использовать скрипт php.

Знаете ли вы, что он имеет в виду о htaccess?

Answer 1

Это не про кого-то, кто «взломал» ваш сервер, но кто-то просил просить http://example.com/includes/foo.php - если вы не хотите, чтобы этот файл включал файл или что-то выводил при непосредственном доступе - и у вас нет средств для отключения доступа HTTP к этот каталог через конфигурацию сервера - тогда вы можете использовать описанный подход, чтобы немедленно выйти, если он не был доступен через include, в любой из ваших собственных скриптов, который определил эту константу.