那些遇到过的问题

使用foreach循环从$ _POST安全问题中获取创建变量?

Yam*_*iko 2 php security post

在过去,我使用以下内容从已发布的表单创建变量.

foreach($_POST as $k=>$v)
{
    $$k = $v;
}
Run Code Online (Sandbox Code Playgroud)

使用此方法有哪些安全风险?

我正在尝试一些测试atm.这个版本怎么样,在变量之前删除任何不是字母或数字的东西?

foreach($_POST as $k=>$v)
{
    $k = preg_replace("/[^[:alnum:]]/","",$k);
    $$k=$v;
}
Run Code Online (Sandbox Code Playgroud)

joh*_*nes 8

攻击者可以_SESSION在您的会话中注入一个被调用的POST变量以及该写入数据,这样您就不能再信任您的会话了.

  • @alex那么`$ post = $ _POST`是一个很好的解决方案.将所有内容提取到单个变量通常只会让您的生活变得更难*. (3认同)

归档时间:

查看次数:

319 次

最近记录:

13 年 前
相关归档
使用PHP删除文件夹中的所有文件? 289
删除多个空格 196
PHP日期昨天 115
如何使用HTTP POST multipart/form-data将文件上传到服务器 68
'php.exe'不被识别为内部或外部命令,可操作程序或批处理文件 34
php - 取消设置变量有什么好处? 28
为什么我在实际工作时收到“Fetch failed loading”? 12
如何修复UnsafeProtectedBroadcastReceiver? 10
验证新用户真的需要电子邮件地址验证吗? 8
ARM TrustZone,是否连接外围设备? 5
难疑归档
"INNER JOIN"和"OUTER JOIN"有什么区别? 4506
你如何断言在JUnit 4测试中抛出某个异常? 1915
如何将package.json中的每个依赖项更新为最新版本? 1871
在UITableView中使用自动布局来获取动态单元格布局和可变行高 1477
在C#中调用基础构造函数 1398
<meta http-equiv ="X-UA-Compatible"content ="IE = edge">是做什么用的? 1378
Apache Camel究竟是什么? 1310
为PHP密码保护哈希和盐 1142
将先前的提交分解为多个提交 1113
git:撤消所有工作目录更改,包括新文件 1108