后門URL是指雖然無需直接調(diào)用的資源能直接通過URL訪問。例如，下面WEB應(yīng)用可能向登入用戶顯示敏感信息：

<?php

$authenticated = FALSE;

$authenticated = check_auth();

/* ... */

if ($authenticated)

{

include ’./sensitive.php’;

}

?>

由于sensitive.php位于網(wǎng)站主目錄下，用瀏覽器能跳過驗(yàn)證機(jī)制直接訪問到該文件。這是由于在網(wǎng)站主目錄下的所有文件都有一個(gè)相應(yīng)的URL地址。在某些情況下，這些腳本可能執(zhí)行一個(gè)重要的操作，這就增大了風(fēng)險(xiǎn)。

為了防止后門URL，你需要確認(rèn)把所有包含文件保存在網(wǎng)站主目錄以外。所有保存在網(wǎng)站主目錄下的文件都是必須要通過URL直接訪問的。