0
我知道$_REQUEST不好,因爲它也包含cookie數據。
難道還要糟糕,如果我們使用某種清潔功能的它使用$_REQUEST?有人能夠詳細說明嗎?
A
回答
3
$_REQUEST並不是特別危險。任何用戶輸入都可能是攻擊,應該這樣處理。對於任何輸入介質$_GET,$_POST,$_COOKIE,使用適當的方法intval(),preg_match(),......以驗證您獲得的價值是你所期望的東西。
例如,如果您期望文件名並打算將其發送給用戶,請確保它不包含..或/,這樣用戶將無法訪問您的文件系統。
如果要將用戶生成的值插入到數據庫中,請確保使用舊的mysql_real_escape_string或更好的PDO或mysqli預準備語句轉義了您的值。
相關問題
- 1. 是jQuery.html()危險嗎?
- 2. Ajax的危險
- 3. git commit --amend是危險的
- 4. EVAL()。這是危險的嗎?
- 5. GET_ACCOUNTS權限是否危險?
- 6. 什麼是... mysql_real_escape_string?危險嗎?
- 7. fb_ca_chain_bundle.crt危險
- 8. 危險的做法?
- 9. 是ColdFusion的評估()真的很危險?
- 10. 取儲存危險
- 11. trustMe有多危險?
- 12. 潛在危險Request.Path(:)
- 13. Unicode輸入危險
- 14. ActiveRecord單身危險?
- 15. coxph.detail $危險的公式是什麼?
- 16. 哪些是遠程調試的危險?
- 17. 什麼是從取回HTML的危險
- 18. 什麼是危險的約呼應SID
- 19. 這是危險的嗎?關於事件
- 20. tmpnam警告說這是危險的
- 21. 序列化是危險的PDO
- 22. 這是很危險的Javascript嗎?
- 23. eval(parse(...))的危險具體是什麼?
- 24. 「潛在危險的Request.Form值」
- 25. 危險Request的價值
- 26. 潛在危險的請求
- 27. 危險的循環成語?
- 28. 堆溢出的危險?
- 29. 危險的PHP函數
- 30. 潛在的危險Request.Form - EpiServer
如果你在談論使用它的值傳遞給數據庫查詢,只需使用一些支持預處理語句(如[PDO](http://php.net/manual/en/book.pdo。 PHP)),你不必擔心它的大部分。 – Matt
危險源於什麼,我可以問一下嗎?如果服務器相應設置,$ _REQUEST中的任何參數都可以通過POST,GET _and_ cookie發送。而且每個頻道都可能會受到影響。 – raina77ow
@Matt - 你能澄清你'大部分'的含義嗎? – andrewsi