php的本机函数与未经过滤的输入一起使用有多安全?
php 本机函数与未经过滤的输入一起使用可能非常不安全,因为这可能会导致攻击者能够执行恶意代码。
php 本机函数是 php 代码在服务器端运行时由 php 解释器所实现的函数。这些函数是 php 代码的一部分,因此它们可以访问和操作 php 脚本中的任何变量和函数。
如果未对输入进行适当的过滤,则 php 本机函数可能会接受包含恶意代码的输入。例如,攻击者可能会尝试在 php 脚本中注入恶意代码,以利用未经过滤的输入来执行攻击者想要的操作。
因此,在使用 php 本机函数时,必须始终进行输入过滤,以确保输入只能包含预期的数据。这可以通过使用安全的编程技术来实现,例如输入验证和转义。
此外,还应该使用安全的编程实践,例如避免使用全局变量和暴露不必要的函数和变量。
相关·内容
在开关函数中直接使用未经过滤的$_GET变量有多安全,如下面的示例所示? { // Do something // Do something>
如果$_GET变量只出现在整个PHP<
浏览 0提问于2011-10-20得票数 1
回答已采纳
也许我有点疑神疑鬼,但当我重写一个联系模块时,脑海中浮现了以下问题: if (file_exists($_POST['brochure'])) {
//上面的代码只是一个例子,我可以想到我在处理
浏览 5提问于2009-03-12得票数 10
回答已采纳
1回答
我正在创建一个验证用户输入的文本的函数。由于我有输入文本的各种用途,我希望这个功能能够覆盖尽可能多的安全问题,让用户在网站的任何部分输入文本。我目前使用各种不同的代码来验证所需的各种输入,并试图将安全部分合并到一个函数中,并将regex (电子邮件、电话、密码验证)合并到另一
浏览 5提问于2012-04-12得票数 0
回答已采纳
我想使用新的PHP5>输入过滤来清理和验证发布的数据,我知道如何使用filter_input函数。但是我不知道我到底需要什么来清理数据库插入的数据&发送电子邮件。基本上,我想清理我的数据(不是验证,我知道怎么做),这样我就可以安全地在我的后端处理(例如:防止sql注入,XSS等)。$var = filter_input(INPUT_POST, 'id
浏览 6提问于2011-08-26得票数 0
回答已采纳
1回答
当在中使用JavaScript时,将根据给定的代码动态创建函数对象:const fun = new Function(input); // (2)假设输入字符串(1)是任意用户输入,解析它的(2)是否不安全,即使它从未被计算过(3
浏览 1提问于2018-01-25得票数 2
回答已采纳
我在JBOSS容器中有一个基于RestEasy的RestEasy,它使用auth约束进行了验证。在进行任何调用时,授权头将与请求一起传递。约束的url映射是/*这是很好的工作,标题正在添加。但是,由于RestEasy使用url模式/*进行了
浏览 0提问于2014-11-18得票数 2
回答已采纳
根据,在Python中生成XML文件的最简单方法之一是使用Python的内置ElementTree XML。
我计划使用ElementTree库来使用用户输入的属性值来构造XML请求。但是,我现在担心我的应用程序的安全性。例如,我<
浏览 1提问于2017-11-03得票数 4
回答已采纳
现有的CSP替代品(如BritishAirways使用的Ensighten )是否良好/安全?例如,引导脚本的工作方式是将自己的代理方法绑定到XMLHttpRequest Open/Send,然后根据允许的域列表检查请求的域。任何试图与未经批准的域名对话都会得到虚假的响应。这种方法和CSP一样安全吗?是否有任何脚本可以删除Ensighten<e
浏览 0提问于2019-10-17得票数 2
2回答
我是为一个电子商务网站写的C#.net (没有使用的CMS,相当多的代码),那里的安全一直没有优先考虑很长时间。我现在的任务是找到并修复任何XSS漏洞。有许多未经过滤的数据直接写在呈现的HTML中。我最好的策略是不用读每一页就能治愈代码?
浏览 0提问于2017-10-16得票数 16
回答已采纳
2回答
我在Drupal 8中创建了一个内容类型,并添加了一个名为"body“的字段。但是我无法在这个领域中使用PHP代码。
如何在"body“字段启用PHP?
浏览 0提问于2016-12-28得票数 3
我使用的是,jquery表排序器插件和jquery表排序器分页。
当我在文档中加载设置,加载并添加过滤器时,它会破坏分页。我尝试使用的每个表过滤器插件都遇到了这个问题。
浏览 20提问于2013-11-20得票数 1
我正在与JSP一起使用SpringSecurity3.0。我已经创建了一个RequireVerificationFilter,它将未经验证的用户重定向到“验证您的电子邮件”页面。我在最后一个位置将过滤器添加到spring安全过滤器堆栈中,如下所示:<bean id="requireVerificationFilter" class=&qu
浏览 4提问于2010-10-17得票数 6
回答已采纳
我知道,出于安全原因,有必要(用盐)散列用户的密码,并将其与存储的散列密码进行比较,因此,如果其他任何人获得散列字符串,他将无法重新计算密码或在彩虹表中查找它。<form method='post' action='login.php'>
<input type='text' name='user&#
浏览 0提问于2012-11-08得票数 4
回答已采纳
能否请您验证我的身份验证解决方案是否足够优雅和安全。/> <allow users = "*" /> </authorization>` private bool ValidateUserSQL query来检查输入的凭据是否与数据库记录相似。如果凭证匹配,我想使用Response.Redirect(&qu
浏览 1提问于2012-06-04得票数 0
我找遍了,但没有找到这个问题的答案。在将用户输入写入WebSQL数据库之前,Javascript中是否有一个类似于PHP的mysql_real_escape_string的函数来确保用户输入的安全性?如果没有,有没有人知道有没有我可以使用的定制函数?更新:所以看起来没有本机函数,所以我写了:
function sql_real_
浏览 1提问于2012-07-22得票数 2
我读过关于CI如何以不同于本机会话的方式处理会话,并对将所有数据存储在cookie(?)中感到有点不安全,而PHP的本机会话只存储会话ID(?)。因此,我决定使用没有CI native_session库的本机会话。现在,我知道CI中的输入Class验证的是一个true/false语句,如下所示:
if ($this->input->post('som
浏览 0提问于2011-06-05得票数 5
1回答
我的网络系统有这个问题。作为管理员,我的目的是注册一些用户,给他们提供username、password、firstname和lastname。我这样做是正确的,因为所有的记录都是正确插入的。但是,当我试图以其中一个用户的身份访问时,我无法进入,获取消息“用户名和密码不匹配”。</h3><br><br></br></br>';
浏览 0提问于2013-09-29得票数 0
回答已采纳
用户是否可以尝试在文章中使用"HTML“选项?我的多网站在哪些方面有机会受到攻击?
你能给我一些多站点的预防措施吗?我想维护多个网站的公共注册功能,就像任何其他博客平台做的一样。
浏览 0提问于2010-09-14得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
