2
有些人可能知道可以從Flash遠程調用PHP方法。 有時,遠程PHP方法的輸入參數是一個整數數組。 由於PHP是動態輸入的,攻擊者可以傳遞任何數組。 必須在SQL查詢中使用整數數組。 目前我防止注射這樣的:動態類型語言和遠程方法調用
foreach ($unsafeArray as $value)
$safeArray[] = (int)$value;
你會怎麼推薦?也許我應該開始使用Java:D
A
回答
1
您可以使用此:$aSafeArray = array_map('intval', $aUnsafeArray);以確保所有傳遞的值都是整數。我的建議是開始使用prepared statements! 示例:
$o->bindParam(':anint', $iInt, PDO::PARAM_INT);
0
你會推薦什麼?
我不是Flash專家,但的確可以通過知道它的名字來調用PHP方法,並且參數可以作爲數組傳遞。所以問題實際上不是遠程方法調用,而是輸入過濾和驗證。
根據不同的行爲,我會使用intval而不是硬轉換爲int(AFAIR它會在無效值時返回0),否則可以拋出異常或其他。你必須首先定義它的行爲。
也許我應該開始使用Java
不,除非你想同時在編譯和運行時的發展速度和巨大的存儲需求方面臃腫的解決方案:對
相關問題
- 1. 口譯員和動態類型語言
- 2. 動態類型語言中的類型
- 3. 用動態類型語言重構
- 4. 如何動態調用遠程對象和方法
- 5. 以動態語言檢查類型
- 6. 動態調用類方法
- 7. 設計模式列表僅適用於靜態類型語言,但不適用於動態類型語言?
- 8. 如何調用遠程java類(方法)
- 9. 使用類型調用靜態方法
- 10. 在靜態類型語言D中使用動態類型輸入
- 11. 調用靜態類的方法傳遞動態變量的類型與泛型
- 12. C++遠程方法調用
- 13. Prolog是一種無類型的語言嗎? Prolog和動態類型語言有什麼區別?
- 14. .NET和動態語言
- 15. C#調用泛型方法動態
- 16. 用動態類型調用通用擴展方法
- 17. 在鴨子型語言中模擬靜態類型的方面
- 18. 解釋RPC(遠程過程調用)和RMI(遠程方法調用)
- 19. 動態類型調用通用方法(.net 3.5)
- 20. CORBA IIOPNet和OmniORBpy,遠程方法調用與值類型參數問題
- 21. 調用JUNIT類的動態方法
- 22. 動態調用PHP類方法
- 23. PHP中的動態類方法調用
- 24. 動態調用動態類型參數
- 25. 多語言動態Silverlight應用程序
- 26. 混合功能/面嚮對象語言,如F#/斯卡拉:使用類型的方法或方法和類型
- 27. C#類型分配和方法調用在單個語句
- 28. 如何用動態類型語言指定參數類型,即Python?
- 29. 是否有靜態類型的語言可用於JVM和CLR?
- 30. 如何調用動態類型的擴展方法?
問題不在於類型系統,而是使用rpc協議。靜態/動態類型與其正交。 – troelskn 2011-05-31 07:24:24