當要在防止頁面攻擊時,可在頁面的頭部include防攻擊文件,就像通用防注入文件,我們可以用三種情況來辦到:

1、在每個文件內引用,這樣的文件是可以,不過如果一個網站內有幾百個文件的話就不方便了.

2、在共同包含文件內引用一下,比如 config.inc.php,這是一個好辦法,也是目前市場上比較流行的做法.

3、在php.ini中引用,在配置文件內引用的話,將影響到所有的網站,包含所有頁面,這就像當年流行的一些免費空間商,當你免費開通一個ftp空間,上傳網站以后,空間內會出現廣告一樣,不知道是不是這種方法,但是目的是一樣的,這樣做的好處是:如果是一個公司或者是一個企業內部網站的話,即安全,維護也方便.

前兩種方法大家都清楚,第三種就是在php.ini中,找到此節:

;automatically add files before or after any php document. 

;auto_prepend_file = "phpids.php" 

;auto_append_file = "alert.php"

默認是空,請添加所包含的文件,同時找到:

1. ;unix: "/path1:/path2"  
2. ;include_path = ".:/php/includes"  
3. ;  
4. ;windows: "path1;path2"  
5. include_path = ".;f:phpnowhtdocs" 

因為我的是win環境,所以開啟了windows選項,包含路徑可自由修改,同時,這樣的功能也為我們攻擊也造成了方便,比如掛馬,現在“市場”上也有很多的掛馬技巧,就不多說了,我們可以利用auto_prepend_file選項,來批量掛馬了,可以將整個服務器上的網站掛上,優點為:不影響速度、不修改文件、方法新穎,缺點為:必須對php.ini有寫權限.