Найти в Дзене
Легко в’IT
249 подписчиков

Пример плохой функции

18
1 мин
Сегодня я хочу рассказать о том, как простая функция, которую все лепят направо и налево может стать причиной взлома твоего приложения. А точнее о функции file_get_contents и почему ее лучше не использовать в некоторых случаях. file_get_contents является одной из популярных функций в PHP для чтения содержимого файлов. Однако, она имеет некоторые уязвимости, которые могут привести к взлому системы.
Одной из основных проблем с file_get_contents является отсутствие проверки на безопасность при чтении удаленного содержимого. Функция позволяет получить содержимое удаленного файла по URL-адресу. Это может быть удобно, но такой подход может представлять угрозу безопасности.
Например, если у тебя на сайте есть выбор темы оформления. Простое такое поле выбора, которое предлагает либо темную тему dark.css либо светлую: light.css и через file_get_contents считывает эти файлы напрямую с диска. Злоумышленник может подставить в поле ввода вместо light.css например config.php или super_secret_passw

Сегодня я хочу рассказать о том, как простая функция, которую все лепят направо и налево может стать причиной взлома твоего приложения. А точнее о функции file_get_contents и почему ее лучше не использовать в некоторых случаях. file_get_contents является одной из популярных функций в PHP для чтения содержимого файлов. Однако, она имеет некоторые уязвимости, которые могут привести к взлому системы.

Одной из основных проблем с file_get_contents является отсутствие проверки на безопасность при чтении удаленного содержимого. Функция позволяет получить содержимое удаленного файла по URL-адресу. Это может быть удобно, но такой подход может представлять угрозу безопасности.

Например, если у тебя на сайте есть выбор темы оформления. Простое такое поле выбора, которое предлагает либо темную тему dark.css либо светлую: light.css и через file_get_contents считывает эти файлы напрямую с диска. Злоумышленник может подставить в поле ввода вместо light.css например config.php или super_secret_passwords.txt, которые лежат на диске сервера и скрипт ничтоже сумняшеся выведет все твои пароли.

Более безопасным решением будет использование других методов для чтения удаленного содержимого, таких как cURL или fopen с контекстом. Они предоставляют больше возможностей для контроля безопасности, таких как проверка сертификатов SSL и предотвращение выполнения вредоносного кода.

Еще одна проблема с file_get_contents - это то, что она может быть медленной при работе с большими файлами. Функция загружает весь файл в память, что может вызвать проблемы с производительностью, особенно если у вас есть ограниченные ресурсы.

Вместо использования file_get_contents для чтения файлов, рекомендуется использовать специализированные функции PHP для работы с файлами, такие как fread или fgets. Они позволяют читать файл постепенно, по кусочкам, что улучшает производительность и экономит память.

Надеюсь, эта информация была полезной для тебя, и ты сможешь принять во внимание эти советы при разработке своих проектов. Безопасность и производительность - вот два главных аспекта, которые всегда стоит учитывать в программировании. Удачи в твоих разработках!