0
我需要一個只有3個字母的參數傳遞給bash腳本。PHP GET安全
如果我只是將所有內容切成3個字母以上,它足夠安全嗎?
$var = $_GET['var'];
$var = substr($var, -3);
我想不出一種方法來利用這個,但誰知道。
A
回答
2
我不認爲這是安全的。誰知道bash中的三個字符可能是什麼?
正則表達式如何指定允許的字符?這可能是更安全的方法。
使用正則表達式過濾器:
$var = filter_var($_GET['var'], FILTER_VALIDATE_REGEXP,
array("options"=>array("regexp"=>"--- your regex ---")));
if($var!==false) {
// pass to bash
}
+0
謝謝,這實際上是有道理的 – Heliosh
0
你應該根據你將要使用它的內容(可能是MySQL查詢)轉義輸入。如果輸入不正確而不是僅僅是剪切它,那麼返回錯誤信息可能會更好,因此使用腳本的人知道錯誤發生了什麼,如果他意外通過或者沒有錯誤輸入。
相關問題
- 1. PHP GET或POST安全
- 2. Powershell安全日誌Get-EventLog
- 3. PHP GET全部抓住
- 4. JQuery $ .get()語句有安全漏洞?
- 5. PHP/SQLite安全
- 6. 安全從PHP
- 7. PHP安全根
- 8. 安全和php
- 9. php mysql_connect安全
- 10. PHP安全JSON
- 11. $ _GET php安全
- 12. playframework - 安全指南沒有提到GET方法的安全性?
- 13. PHP註冊表單 - 安全和安全?
- 14. GET請求,安全性和Web服務
- 15. 線程安全get(訪問器方法)
- 16. 線程安全懶get和釋放
- 17. 這是GET安全的SQL注入?
- 18. 是String get/set線程安全嗎?
- 19. 輸入的安全性:: get和口才
- 20. PHP代碼安全
- 21. PHP安全計算
- 22. PHP安全表單
- 23. 安全PHP文件
- 24. PHP會話安全
- 25. PHP有多安全?
- 26. php安全與Joomla
- 27. PHP安全問題?
- 28. PHP - 會話 - 安全
- 29. 安全PHP RESTful API
- 30. PHP和MySQL安全
解釋什麼你到底需要做什麼? – Deepak
這取決於很多事情。我甚至不知道從哪裏開始。 – Phiter
消毒數據通常是一個壞主意。只要測試它的合法性,如果不合法就把它扔掉。 – maxhb