???????? php中有一个函数extract(),不少人都使用过,但是这个函数时间上存在一个小小的隐患,如果使用不当可能会造成安全上的问题。
?一般第二个参数我们都会懒得设置,这样实际上存在一个变量覆盖的问题,由于这个函数的隐蔽性,很多时候我们会忽略掉它的危害性,结果就会造成黑客通过对数组元素的控制,或者说伪造,直接可以覆盖掉已经存在的某些变量,可以导致多种问题,包括本地包含漏洞,sql注入漏洞(通过这个函数很容易绕过变量检查),而且由于它的隐蔽性,很多人会忽略掉。明显的一个例子
???
一个功能强大的B2B与B2C的购物平台,除了原本OSC功能外,增加更新的功能: 一、 取消了register_globals必须开启的限制 二、 將HTML程式碼与PHP程式碼完全分离,採用了smarty 樣板引擎 三、 每支档案includes所需函数与资料库连结,使的网页显示速度明显提升 四、 检视、购买商品群组权限设定 五、 十八岁以下禁购机制 六、 折价券购物抵扣机制 七、 礼券购物机制
0
?就是phpcms中的这个问题,而且通过对phpcms v9代码的查阅,里面错误使用extract的地方还有很多。这是值得程序员注意的一个问题。?
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
198
收藏
