Безопасность в том числе файла даже с использованием is_file

Question

Я многому научился в Stackoverflow, это мой любимый сайт программирования, и здесь я нашел ответы на многие из моих вопросов. Теперь, когда я закончил код, мне нужно знать: есть ли у него какой-то недостаток безопасности?

Необходимо получить доменное имя с URL-адреса, чтобы узнать, существует ли файл var, содержащий это выражение, в каталоге и выводить его содержимое. Ваша помощь действительно оценена!

Было бы достаточно, если бы я санировал HTTP_HOST с помощью htmlspecialchars и preg_replace? Использование strip_tags было бы излишним, не так ли? Удаление этих специальных символов из массива также избыточно, не так ли?

Edit:

я изменить код, а также добавить защиту самих включаемых файлов. Большое спасибо!

Answer 1

Нет. Вы должны использовать белый список разрешенных выражений. Для чего-то такого же опасного, как include, вы определенно не хотите полагаться на черный список и простую санитацию.

Вы также можете указать, какой каталог содержит ваши файлы PHP.

Answer 2

Предположив вы храните все *var.php файлы в специальном каталоге (скажем /var/www/include/vars/) вы могли читать их в массив, и ограничить выбор в пределах границ этого массива, а не только is_file() Инг:

$vardir='/var/www/include/vars/'; 
$varfiles=array(); 
foreach(scandir($vardir) as $fn) 
    if(($fn!='.')&&($fn!='..')) 
    $varfiles[]="$vardir$fn"; 

/* Next, do whatever sanitizing you see fit */ 

if(array_find($fnvar)) include_once $fnvar; 

Обратите внимание, что это, по существу, - это белый список, упомянутый в комментариях: если вы создаете новый {xyz}var.php в каталоге $vardir, вы фактически вставляете новую запись в белый список.

Итак, как @ack__ указывает, что и вы не можете избежать белый список, так или иначе ...