And*_*rei 5 php code-injection
我想知道我在fwrite下面是否有代码注入漏洞?
foreach($_POST as $key=>$val) {
fwrite($fh, "\nPOST variable named " . $key . " has the value " . $val);
}
在将这些值写入日志文件之前,我应该以某种方式清理这些值吗?
UPDATE.fh是一个日志文件处理程序
只要日志文件被其使用者视为纯文本(它应该始终如此),就不存在漏洞。
如果您决定将日志文件的未处理内容作为某些 HTML 的一部分输出,那么这将是一个真正的漏洞(可能不会产生非常严重的实际影响,但仍然如此)。但问题在于“其他”代码在 HTML 中显示文本而不调用htmlspecialchars,而不是这里仅写入日志的代码。