作者ThiefFan (不務正業的賊)
看板PHP
標題[請益] 怎麼防止發系統信的程式被reload灌信
時間Fri Jul 30 09:37:45 2010
Mail.php本來是用來給其他程式include的程式碼,內容如下
<?
include "mime_mail.inc";
$ask_IP = getenv("remote_addr");
$mail = new mime_mail;
$mail->from = "$UserMail";
$mail->to = "$AdminMail";
$mail->subject = "帳號權限調整申請";
$mail->body = "帳號資料如下:
【所屬單位】${UnitID}
【員工編號】${UserID}
【姓 名】${UserName}
【電子信箱】${UserMail}
【申請人IP】${ask_IP}
";
# 送出電子郵件
$mail->send();
?>
收到一堆顯然不正常的信之後才注意到
可以直接連像這樣的link來發信
http://xx.xx.xx/Mail.php?UnitID=9&UserID=08080
一直重新整理的話就會一直發信...
要如何防止呢?
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 210.241.104.166
→ kylekai:放在連不到的地方阿.. 像是放在 libs 然後 deny all... 07/30 09:59
→ kylekai:不然就是這內容應該寫成 function ... 07/30 10:00
推 alpe:寫cookie/session判斷, time太近就reject 07/30 10:54
→ ThiefFan:唉呀我怎麼沒想到..!!謝謝 07/30 11:00
→ ThiefFan:咦 chmod成660之後本來的程式也沒辦法include了?囧a 07/30 11:05
→ ThiefFan:我誤解deny all的意思了嗎 07/30 11:05
→ mosluce:在Apache設定~ 07/30 13:27
→ mosluce:也可以檢查是否被引入使用,如果不是就不執行 07/30 13:29