للمبتدئين مثلي أتحدث عن تغرة Remote File Include

السلام عليكم ورحمة الله تعالي وبركاته

حديثي عن ثغرة ال Remote File Include

هي عبارة عن خطاء برمجي و يعمل هذا التنوع من إدراج ملف خارجي بشكل غير شرعي. يقوم الهكر من خلال هذه الثغره بإدراج ملف PHP SHELL يستطيع من خلاله التلاعب بالموقع و قد يصل التلاعب الي الخادم كاملاً.

كيف يتم الإصابه بهذه الثغره ؟؟ :-----

يتم الإصابه عن طريق الدوال التالية :-
( Require_once و Require و Include_once و Include ) متبوعة بي $ نأخذ مثلاً كود مصاب .

<?php
$ghost = $_GET['hacked'];
include ($ghost);
?>

بالسطر الاول تم وضع متغير بإسم ghost و إعطائه القيمه التاليه hacked و في السطر الثاني من الكود تم إستخدام الداله Include و إستخدام علامة $ قبل اسم المتغير ghost

كيف يمكن تامين البرنامج من هذا النوع ؟

بيكون الترقيع او التعديل عن تغير الاسم المتغير المصاب ل ( ./ )

يعني ترقيع الكود السابق :---

<?php
$ghost = $_GET['hacked'];
$ghost = “./”;
include ($ghost);
?>

مع استبدال ghost بإسم المتغير الملحق بال$

أرجو انا ينال إعجباكم و تقيمكم