在过去,我使用以下内容从已发布的表单创建变量.
foreach($_POST as $k=>$v)
{
$$k = $v;
}
使用此方法有哪些安全风险?
我正在尝试一些测试atm.这个版本怎么样,在变量之前删除任何不是字母或数字的东西?
foreach($_POST as $k=>$v)
{
$k = preg_replace("/[^[:alnum:]]/","",$k);
$$k=$v;
}
攻击者可以_SESSION在您的会话中注入一个被调用的POST变量以及该写入数据,这样您就不能再信任您的会话了.