驗證$ _GET和$ _POST變量的實際名稱是否有意義使 確保只輸入允許的變量?驗證輸入變量的名稱是否有意義?
例如,假設一個PHP腳本看到形式線程需要一個字符串是這樣的:
的index.php主題ID = 5 &排序依據= lastpost &排序= ASC
是否添加更多的安全性驗證只有'threadid','orderby'和'sort'可以用作變量名稱?
例如有人將& dostuff = true添加到字符串中會出現某種類型的錯誤 只是想知道這是否有助於以任何方式使腳本更安全。
感謝
有用的事情。我會選擇這個選項。檢查允許的變量會增加額外的函數調用,不管它多麼微小,最好不要使用不必要的函數。 – Dmitri 2011-02-05 15:03:58
這不僅僅是不鼓勵.. register_globals默認情況下從4.2.0開始關閉,並在5.3.0中不推薦使用,並且可能會在5.4或之後不久刪除。 – CaseySoftware 2011-02-05 15:19:34