3步防御DVWA文件包含漏洞：PHP伪协议实战指南

你还在为服务器被恶意文件入侵而头疼？作为运营或开发人员，是否担心用户输入会绕过系统限制读取敏感文件？本文将通过DVWA（Damn Vulnerable Web Application）的文件包含漏洞案例，带你掌握PHP伪协议与流过滤技术，3个步骤构建安全防线，读完你将获得：

• 识别文件包含漏洞的3个关键特征
• 使用php://filter净化输入的实操方法
• 从DVWA源码学习企业级防御策略

漏洞原理：从DVWA看文件包含风险

文件包含漏洞（File Inclusion Vulnerability）是Web应用常见高危漏洞，攻击者通过构造特殊输入，让服务器执行非预期文件。DVWA的文件包含模块（vulnerabilities/fi/）提供了完整演示环境，其核心风险体现在：

• 路径穿越：通过../../等序列访问系统文件（如/etc/passwd）
• 远程代码执行：加载外部恶意脚本（如http://attacker.com/backdoor.php）
• 敏感信息泄露：读取数据库配置或密钥文件

DVWA帮助文档指出，低安全级别完全信任用户输入，代码如下：

// [vulnerabilities/fi/source/low.php](https://gitcode.com/gh_mirrors/dvwa/DVWA/blob/123256873d226f8b71535366fd05807ab6ad1af4/vulnerabilities/fi/source/low.php?utm_source=gitcode_repo_files)
$file = $_GET['page']; // 直接接收用户输入

防御实践：PHP伪协议与流过滤

1. 输入验证：白名单机制

DVWA高级别防御采用文件名白名单，仅允许特定文件被包含：

// [vulnerabilities/fi/source/high.php](https://gitcode.com/gh_mirrors/dvwa/DVWA/blob/123256873d226f8b71535366fd05807ab6ad1af4/vulnerabilities/fi/source/high.php?utm_source=gitcode_repo_files)
if( !fnmatch("file*", $file) && $file != "include.php" ) {
    echo "ERROR: File not found!";
    exit;
}

这种方式虽有效，但维护成本高。更灵活的方案是结合PHP伪协议。

2. 内容净化：php://filter协议

使用PHP内置的php://filter协议可在包含前过滤文件内容，例如仅读取文件内容而非执行：

// 安全读取文件内容（非执行）
include("php://filter/read=convert.base64-encode/resource=config.php");

DVWA不可能级别（impossible.php）采用类似思路，通过严格过滤实现零信任：

$allowed = ["include.php", "file1.php", "file2.php", "file3.php"];
if( !in_array($file, $allowed) ) {
    exit("ERROR: File not found!");
}

3. 协议限制：禁用远程包含

在php.ini中配置禁用远程文件包含：

allow_url_fopen = Off
allow_url_include = Off

DVWA的php.ini已默认关闭这些选项，从环境层降低风险。

防御效果对比

防御级别	关键措施	安全指数	维护成本
低级别	无过滤	⭐	低
中级别	字符串替换	⭐⭐	中
高级别	文件名白名单	⭐⭐⭐	中
不可能级别	严格白名单+协议限制	⭐⭐⭐⭐⭐	高

企业级防御清单

1. 代码层：实施白名单验证，使用php://filter过滤输入
2. 配置层：关闭allow_url_include，限制open_basedir
3. 审计层：定期检查包含函数（include/require）调用
4. 教育层：参考DVWA帮助文档fi/help/help.php进行安全培训

通过组合这些策略，可有效防御99%的文件包含攻击。DVWA作为开源漏洞教学平台，其security.php页面提供了安全级别调整功能，建议开发者在不同级别切换测试，深入理解防御机制。收藏本文，下次遇到文件包含漏洞时，这些方法将助你快速构建安全防线！