qwe*_*ymk 2 php security validation
在这个关于hashbangs的页面上,我看到了以下内容:
// get the _escaped_fragment_ parameter
$escapedfragment = $_GET['_escaped_fragment_'];
// NOTE: VALIDATE PARAMETERS (as always, to avoid security risks)
$params = getParams($unescapedfragment);
这样做有什么意义?这是所有服务器端,它不是sql注入或PHP评估的风险.
为什么要打扰验证?什么可能$_GET['_escaped_fragment_']是一个问题
在这种情况下,正在执行的PHP用于生成搜索引擎索引的动态内容.它需要生成用户在与站点交互时将看到的相同内容 - 为此,它可能需要从文件系统中检索文件,执行数据库查询,连接到远程系统等.
建议肯定是有利的.这是在您的服务器上运行脚本内容的第二种机制,如果您盲目地运行相同的事情而不在此处执行输入验证,则爬虫可能会无意中解决安全问题 - 或者为攻击者提供第二条到您的数据的路径.
| 归档时间: |
|
| 查看次数: |
115 次 |
| 最近记录: |