那些遇到过的问题

如果我不使用MySQL,我应该担心PHP注入吗?

7 php

我使用一个简单的PHP脚本来运行在线漫画,它基本上使用GET取整数值n并为n .jpg 插入img标签.除了确保存在n .jpg 之外,它不会进行任何消毒或错误检查.与脚本的唯一用户交互是通过此GET进行的,另一个用字符串执行相同操作以手动显示不同的模板以进行测试.

我的问题是,我是否应该担心注射?如果是这样,我应该怎么做才能防止它呢?到目前为止我发现的所有内容都只涉及MySQL注入,在这种情况下不适用.

Mic*_*rdt 5

如果您没有使用数据库,那么显然SQL注入不是您的问题.同样,如果您不存储任何用户提交的数据以显示给其他用户,则不需要考虑跨站点脚本.这会留下类似eval()或运行外部进程的东西,攻击者可能会破坏它们,但听起来你也不会像这样做.

所以你可能很安全.尽管如此,最好还是进行最少量的错误检查才能养成习惯.例如,您说您有一个整数GET参数.没有这样的事情 - 所有HTTP参数都是隐含的字符串.PHP模糊了这种区别,但你肯定应该明确地将它强制转换为int,以确保它不是一些旨在利用XSS,SQL注入或eval漏洞的字符串(即使没有这样的存在).

归档时间:

查看次数:

263 次

最近记录:

16 年,1 月 前
相关归档
如何在Laravel,子查询中进行此操作 102
GD与ImageMagick对阵Gmagick为jpg? 86
从php7中删除了utf8_(en | de)代码? 65
在PHPUnit中,如何在对模拟方法的连续调用中指示不同的with()? 44
symfony2中的自定义存储库类 31
DOMElement克隆和追加:'错误的文档错误' 29
PHP中的递归与迭代 25
无法添加PPA:'ppa:ondrej/php5-5.6' 23
如何在PHP中检测格式错误的utf-8字符串? 22
PHP的password_verify()是否可以安全地防止超长密码(DoS攻击)? 19
难疑归档
在JavaScript中创建GUID/UUID? 3915
为什么Java的+ =, - =,*=,/ =复合赋值运算符需要转换? 3547
C#的正确版本号是多少? 2422
如何修复android.os.NetworkOnMainThreadException? 2308
如何从Bash脚本检查程序是否存在? 2032
对JavaScript对象数组进行排序 1233
\ d效率低于[0-9] 1214
如何使用jQuery设置/取消设置cookie? 1209
如何获取Android应用程序的构建版本号? 1198
我如何修剪空白? 1035