3
我的PHP很生鏽。我的影片被通過GET傳遞給腳本一個MD5哈希值,然後我抓住它是這樣的:
$id = $_GET['id'];
顯然有一個安全隱患這裏...我想檢查字符串的長度,以確保的它的長度爲32個字符,但對我來說看起來並不很健壯。我還能做些什麼來使其更安全?
感謝
A
回答
12
1
可以使用preg_match來ckeck alnum和32的長度只有存在。
0
1
這取決於你想用ID做什麼。如果你創建一個mysql選擇這個,你應該添加mysql_real_escape_string(php.net/mysql_real_escape_string)。對於輸出的目的,你可以只轉換爲HTML實體ヶ輛(php.net/htmlentities)將字符串或使用過濾器擴展(php.net/filter)
+0
是的,我正在那樣做! – 2011-03-11 10:19:11
0
做某種「過濾器」,並將其應用到$ _GET ['身份證'] var,在這些過濾器中,你可以檢查長度,類型,允許的字符類型,是否需要...
傳遞一個隨機生成的字符串(散列)重寫表單,在你的會話和表單上保存生成的字符串,然後在表單上對其進行檢查,如果它們不匹配,那麼你不需要檢查id或發送的其他元素。
使用帖子,而不是在可能的情況下獲得。
0
我首先假設您使用> = PHP5.2。我其實會建議你使用PHP5.3,因爲它甚至不需要修改代碼庫就可以更快。我使用filter擴展名來保護我的代碼庫。使用ctype-alnum
/* prevent XSS. */
$_GET = filter_input_array(INPUT_GET, FILTER_SANITIZE_STRING);
$_POST = filter_input_array(INPUT_POST, FILTER_SANITIZE_STRING);
0
例子:
if (strlen($id) == 32 && ctype_alnum($id)) exit('pass');
else exit('no');
相關問題
- 1. $ _GET php安全
- 2. PHP安全$ _GET參數
- 3. 如何安全使用$ _GET?
- 4. $ _GET ['user'] PHP中的安全漏洞
- 5. 安全$ _GET請求與電話
- 6. 我如何使$ _GET更安全。
- 7. 如何安全地回顯$ _GET?
- 8. PHP安全地變換$ _GET/$ _POST陣列
- 9. PHP $ _GET [「身份證」]和安全
- 10. 具有$ _GET請求的安全性
- 11. PHP幫助保持$ _GET安全
- 12. 正在使用Better?
- 13. MGTwitter&Better Iphone Twitter API?
- 14. Better Guard(Spork/RSpec)
- 15. Better Linq GroupBy
- 16. objects..better arrays?
- 17. Angular 2 Better Message Service
- 18. 變量$ _GET超全球
- 19. 如何安全使用$ _GET [「id」]與PDO查詢?
- 20. 預處理語句和$ _GET(任何安全問題?)
- 21. 如何隱藏$ _GET變量以更安全地使用PHP?
- 22. 如何在file_exists中使用$ _GET路徑並保持安全?
- 23. 使用PHP編碼$ _GET []值以使它們更安全
- 24. 是否迴應$ _GET參數的網站安全漏洞?
- 25. 使用$ _GET路徑顯示圖像安全嗎?
- 26. 可以使用原始的$ _GET來獲取文件不安全?
- 27. 使用標題安全地重定向到$ _GET變量()
- 28. 具有$ _GET變量和安全性的Doctrine ORM?
- 29. WP Better Emails插件 - HTML模板問題
- 30. 在php中使用超全局$ _GET類
你爲什麼要通過獲得通過哈希?如果沒有更多信息,我猜測你這樣做的方式根本上是不安全的。 – 2011-03-11 10:08:18
拿到後你用'$ id'做什麼? – Blorgbeard 2011-03-11 10:08:28
是否存在安全風險主要取決於您之後對變量所做的操作。 – 2011-03-11 10:09:26