0
我使用extract來獲取POST發送的表單的所有值,並將它們保存在不同的變量中。 我的疑問是,如果使用extract()與標誌EXTR_SKIP是防止安全問題的「最佳方式」,比如(可能?)覆蓋表單的值以及我不知道的其他安全問題(我對Web安全性的知識是相當有限)使用extract()標誌EXTR_SKIP來防止安全問題
A
回答
2
我有很多的投入,我一直想學習最快的方式,以提高工作效率(顯然是爲了能夠快速讀取感知安全
優化的,不能快速寫入。
但是,如果你真的想要走這條路線:
<?php
// Important, ONLY allow the indices you really want to support
$whitelist = array_key_whitelist($_POST, [
'foo',
'bar',
'baz',
'moo',
'usr',
'lol'
]);
// Then run extract() as expected
extract($whitelist, EXTR_SKIP);
,功能當然是:
<?php
/**
* Only allow the whitelisted array keys to exist:
*
* @ref http://stackoverflow.com/a/36193403/2224584
* @param array $input
* @param array $allowedKeys
* @return array
*/
function array_key_whitelist(array $input, array $allowedKeys = []): array
{
$return = [];
foreach ($allowedKeys as $key) {
if (array_key_exists($key, $input)) {
$return[$key] = $input[$key];
}
}
return $return;
}
這比extract()與EXTR_SKIP在,在未來,變數可能就不會置自己的理智循環的情況下稍微更安全如果它們已經被定義的話。
但嚴重的是,這是更多的代碼高爾夫精細比練習,你應該其實後面。
相關問題
- 1. 防止iframe的安全問題
- 2. 使用extract()的問題PHP
- 3. 如何安全地使用WaitHandles來防止死鎖?
- 4. 是否安全使用布爾標誌來阻止線程在C#中運行
- 5. 使用Cookie來防止訪問站點中的某些非安全頁面
- 6. java:停止安全線程;不使用while和布爾標誌
- 7. 如何防止SQL注入和其他安全問題PostgREST?
- 8. TinyMCE安全問題:您如何防止惡意輸入?
- 9. 使用mod_rewrite B標誌安全嗎?
- 10. 使用javascript的Cookie安全標誌
- 11. c#線程安全日誌記錄問題不使用singleton
- 12. 使用My.Application.Log.WriteException寫入事件日誌的安全問題
- 13. LINQ ::使用靜態DataContext來防止併發問題
- 14. 標誌康達包裝不安全/實驗,禁止包安裝
- 15. 安全問題關於標題('location:some_page.php')
- 16. MQTT安全 - 如何防止濫用者訂閱主題?
- 17. 使用安全管理器來阻止公開方法訪問
- 18. 使用身份驗證標題,以防止訪問頁面
- 19. Hash :: extract()的CakePHP問題()
- 20. 安全問題
- 21. 安全問題?
- 22. 安全問題
- 23. 使用strcmp來防止重複的日誌行
- 24. 防止用戶使用網址繞過安全
- 25. 安全性:一般來說,使用內容類型足以防止CSRF?
- 26. 如何使用同步器令牌模式來防止CSRF安全?
- 27. Xcode:是否有位置/標誌來防止類編譯?
- 28. 標題(「位置:」)可以安全使用?
- 29. 安全標題無效 - 使用curl php
- 30. 安全使用C符號和標題?
爲什麼你要使用它,而不是像現在這樣處理'$ _POST'變量? – Jon
@Jon因爲我有很多輸入,我總是喜歡學習最快的方式,更高效(明顯知道安全) –
這個,我不相信,是你想要的解決方案。 'register_globals()'由於某種原因自動關閉。 ^^最好在它處於'$ _POST'或'$ _GET'數組中時處理它。這樣做也意味着,在查看代碼時,您知道什麼是嚴格的用戶輸入,並且如果將它移動到正常變量,您將通過簡要地瞭解您是否已按需要進行了清理。 – Jon