Question

我正在托管一个可以直接访问的文件“getBio.php”：

http://www.example.com/getBio.php

我想知道安全有效性之间是否存在任何差异：

A）

<?php

$config = parse_ini_file('../secretstuff/config.ini');

include '../secretstuff/getBio_B.php';

?>

B）

<?php 

include '../secretstuff/getBio_B.php';

?>

行：

 $config = parse_ini_file('../secretstuff/config.ini');

被移入外部文件getBio_B.php。

感谢您的帮助，亚当。

Answer 1

我不知道你的目的，但我认为如果你能确保config.ini和getBio_B.php（通常是项目中的文件）的来源，它们是相同的。

如果您只想加载一些配置项，请使用parse_ini_file比include更安全，因为include函数将加载并执行加载文件的代码，它意味着加载文件中的任何PHP代码include函数将执行它，但是使用parse_ini_file来加载一些配置，ini文件的结构必须与php.ini的结构相同。

这就是为什么显然使用比包含php文件更具安全性的config.ini。

PHP安全性：include和config.ini

1 个答案: