2
我总是听到使用全局变量是危险的。这是否适用于Drupal?看看下面的例子:在Drupal中使用“全局”用户是否危险?
function myFunction($bla) {
global $user;
if (isAuthenticated($user->uid)) {
print $secretCode;
}
}
这可以被黑客入侵吗?
A
回答
4
全局变量可能是危险的原因有很多,其中一些包括:
- 杂波命名空间
- 这使得维修困难,并鼓励的monkeypatching,全局变量可以在任何地方
- 他们是被修改不透明
- 在内存管理语言中,全局变量可能成为内存泄漏的源
- 它们使调试尤其是不同在大型应用程序/站点上很难,因为可能很难找到它们被设置和修改的位置。
没有什么特别的威胁有关你的使用情况。应该没问题。如果你很害怕,你可以确保用户$> uid是评估前的整数
function myFunction($bla) {
global $user;
if(is_int($user->uid)){
if (isAuthenticated($user->uid)) {
print $secretCode;
}
}
}
但是这可能是不必要的。
0
号如果您使用了session_register,这是可能的SQL注入。由于这是一个古老的方法,所以在PHP 4中。尽管如此,许多人仍然在使用它。
相关问题
- 1. 处置后调用MemoryStream.ToArray()是否危险?
- 2. 警告 - 危险使用全局这个对象
- 3. 警告 - 危险使用全局这个对象?
- 4. GET_ACCOUNTS权限是否危险?
- 5. 在Python中使用多个定时器是否危险?
- 6. 在JavaScript客户端中创建UUID是否有任何危险?
- 7. 该代码是否有潜在危险?
- 8. 安全,危险使用锚时,而不是提交输入
- 9. 从安全的角度来看,管道是否认为管道使用危险?
- 10. 是jQuery.html()危险吗?
- 11. R和Stata中全局危险的例子
- 12. 添加外键关系是否危险?
- 13. 这个加入提示是否危险?
- 14. 在ASP.NET中使用线程是否存在任何非明显的危险?
- 15. 在R中使用`-1L`而不是`-1`有没有危险?
- 16. 在Javascript中使用右括号之后换行符是否危险?
- 17. 潜在危险Request.Path(:)
- 18. EVAL()。这是危险的吗?
- 19. 什么时候可以考虑使用危险的SetInnerHTML()安全?
- 20. MySQL配置:内存使用“危险高”?
- 21. 使用svn有什么危险?
- 22. 危险使用$ _GET和$ _POST与egrep
- 23. ASP.NET垃圾回收:是否引用静态类属性危险?
- 24. 反映堆栈跟踪在发布版本中是否危险?
- 25. 在.git/config中包含googlecode密码是否危险?
- 26. Ajax的危险
- 27. 为什么reinterpret_cast的仍然是在使用时有危险
- 28. 是否有stopbadwares api检查网址是否危险?
- 29. Drupal:为了使用$ _SESSION,在用户表中添加uid = 0是否安全?
- 30. Django中不安全的用户输入文本有什么危险?
你也许知道,如果它在我的具体的例子是危险的?我知道$ user是一个内置变量。即我没有定义它,Drupal的确如此。 – coderama 2009-09-06 19:40:58
编辑我的答案了一下。 – 2009-09-06 20:02:19
还有一个问题。 “黑客”可以通过自己的用户吗?我的意思是,如果他能通过一个1的UID,那就意味着他是管理员。 – coderama 2009-09-06 20:29:02