Mi chiedo come patchare il problema LFI in questo codice? Per favore suggerisci un buon modo per correggere questa vulnerabilità.
Mi chiedo come patchare il problema LFI in questo codice? Per favore suggerisci un buon modo per correggere questa vulnerabilità.
Gli attacchi directory traversal / local file sono solo un sintomo del problema di non riuscire a convalidare l'input dell'utente. Considera cosa stai facendo: stai prendendo spunto da Internet e accecandolo passandolo a una funzione che si aspetta un tipo di input molto particolare.
La risposta breve è: VALIDA TUTTO L'INGRESSO UTENTE.
La risposta più lunga è, e in questo caso, verificare che ciò che viene inserito nella variabile Product è un nome di file legittimo nella directory appropriata.
Questa stessa premessa è come funziona SQL Injection.
Leggi altre domande sui tag php file-inclusion