0
我需要一个只有3个字母的参数传递给bash脚本。PHP GET安全
如果我只是将所有内容切成3个字母以上,它足够安全吗?
$var = $_GET['var'];
$var = substr($var, -3);
我想不出一种方法来利用这个,但谁知道。
A
回答
2
我不认为这是安全的。谁知道bash中的三个字符可能是什么?
正则表达式如何指定允许的字符?这可能是更安全的方法。
使用正则表达式过滤器:
$var = filter_var($_GET['var'], FILTER_VALIDATE_REGEXP,
array("options"=>array("regexp"=>"--- your regex ---")));
if($var!==false) {
// pass to bash
}
+0
谢谢,这实际上是有道理的 – Heliosh
0
你应该根据你将要使用它的内容(可能是MySQL查询)转义输入。如果输入不正确而不是仅仅是剪切它,那么返回错误信息可能会更好,因此使用脚本的人知道错误发生了什么,如果他意外通过或者没有错误输入。
相关问题
- 1. PHP GET或POST安全
- 2. Powershell安全日志Get-EventLog
- 3. PHP GET全部抓住
- 4. JQuery $ .get()语句有安全漏洞?
- 5. PHP/SQLite安全
- 6. 安全从PHP
- 7. PHP安全根
- 8. 安全和php
- 9. php mysql_connect安全
- 10. PHP安全JSON
- 11. $ _GET php安全
- 12. playframework - 安全指南没有提到GET方法的安全性?
- 13. PHP注册表单 - 安全和安全?
- 14. GET请求,安全性和Web服务
- 15. 线程安全get(访问器方法)
- 16. 线程安全懒get和释放
- 17. 这是GET安全的SQL注入?
- 18. 是String get/set线程安全吗?
- 19. 输入的安全性:: get和口才
- 20. PHP代码安全
- 21. PHP安全计算
- 22. PHP安全表单
- 23. 安全PHP文件
- 24. PHP会话安全
- 25. PHP有多安全?
- 26. php安全与Joomla
- 27. PHP安全问题?
- 28. PHP - 会话 - 安全
- 29. 安全PHP RESTful API
- 30. PHP和MySQL安全
解释什么你到底需要做什么? – Deepak
这取决于很多事情。我甚至不知道从哪里开始。 – Phiter
消毒数据通常是一个坏主意。只要测试它的合法性,如果不合法就把它扔掉。 – maxhb