array ( 0 => 'index.php', 1 => 'PHP Manual', ), 'head' => array ( 0 => 'UTF-8', 1 => 'ru', ), 'this' => array ( 0 => 'security.filesystem.nullbytes.php', 1 => 'Нулевые байты и безопасность', 2 => 'Нулевые байты и безопасность', ), 'up' => array ( 0 => 'security.filesystem.php', 1 => 'Безопасность файловой системы', ), 'prev' => array ( 0 => 'security.filesystem.php', 1 => 'Безопасность файловой системы', ), 'next' => array ( 0 => 'security.database.php', 1 => 'Безопасность баз данных', ), 'alternatives' => array ( ), 'source' => array ( 'lang' => 'ru', 'path' => 'security/filesystem.xml', ), 'history' => array ( ), ); $setup["toc"] = $TOC; $setup["toc_deprecated"] = $TOC_DEPRECATED; $setup["parents"] = $PARENTS; manual_setup($setup); contributors($setup); ?>

Нулевые байты и безопасность

Поскольку для работы с файловой системой PHP внутренне вызывает функции языка C, он иногда обрабатывает нулевые байты неожиданным образом. Поскольку в C нулевые байты обозначают конец строки, PHP не принимает всю строку с NUL-байтом, а только до позиции перед нулевым байтом. Следующий пример содержит уязвимый код, который показывает проблему:

Пример #1 Пример уязвимого скрипта с NUL-байтом

<?php

$file = $_GET['file']; // "../../etc/passwd\0"

if (file_exists('/home/wwwrun/' . $file . '.php')) {
// Функция file_exists() вернёт true, поскольку путь /home/wwwrun/../../etc/passwd существует
include '/home/wwwrun/' . $file . '.php';

// PHP подключит файл /etc/passwd
}

?>

Поэтому каждую испорченную строку, которая участвует в операциях с файловой системой, требуется правильно проверять. Вот улучшенная версия предыдущего примера:

Пример #2 Корректная проверка входных данных

<?php

$file = $_GET['file'];

// Белый список возможных значений
switch ($file) {
case 'main':
case 'foo':
case 'bar':
include '/home/wwwrun/include/' . $file . '.php';
break;
default:
include '/home/wwwrun/include/main.php';
}

?>