allowurl.txt是什么？网站日志里面有allowurl.txt访问

　　每天的网站日志里面都有allowurl.txt访问，allowurl.txt是什么？allowurl.txt出现在DeDeCMS中，通常“/data/admin/allowurl.txt”用于判断网站程序是不是DeDeCMS。这是DeDeCMS的程序漏洞，站长最好进行相应安全措施。

　　除了删除allowurl.txt文件之外，还需要：如果php.ini的配置选项allow_url_fopen为ON的话，建议站长设置为OFF，即服务器建议关闭allow_url_fopen。这种漏洞被称为远程文件包含漏洞，即利用远程文件包含漏洞可以直接执行任意命令。

　　在实际渗透攻击过程中，攻击者可以在自己的Web服务器上放一个可执行的恶意文件，通过目标网站存在的远程文件包含漏洞来加载文件，从而实现执行任意命令的目的。那么，在关闭远程文件包含漏洞的情况下，我们该怎样读取远程文件内容呢？

　　幸好我们有一个很好的PHP模块——curl。下面我就以一个例子说说我用curl远程读取的方法：

　　第一、allow_url_fopen=ON的情况下：

　　第二、allow_url_fopen = Off的情况下：

　　正如我们之前讨论的那样，include()和require()主要是为了支持代码库，因为我们一般是把一些经常使用的函数放到一个独立的文件中，这个独立的文件就是代码库，当需要使用其中的函数时，我们只要把这个代码库包含到当前的文件中就可以了。