2
对PHP不太熟悉,用户是否可以利用变量插值来获取秘密值?查询字符串安全性和可变插值
<?php
$secret = 'hidden data';
echo $_GET['id'];
?>
我想传递的ID:$秘密,%24secret,$ {秘密},{$}秘密,%7D%24secret%7D,%24%7Dsecret%7D。到目前为止,它似乎很安全,但只是想确保我不会错过任何东西。提前致谢。
A
回答
3
不,用户不可能以这种方式检索硬编码的字符串。
1
号
但使用htmlentities($_GET["id"])无论如何,否则我们可以利用跨站点脚本攻击(窃取登录Cookie,会话数据等)。
相关问题
- 1. 字符串不变性的安全性
- 2. ASP.NET Web API - 从查询字符串值和API安全性授权
- 3. C++字符串文字的安全性和可靠性如何?
- 4. 查询字符串安全与否?
- 5. URL查询字符串的安全性问题(ASP.NET)
- 6. php安全性应该隐藏url中的查询字符串
- 7. Java字符串如何不可变增加安全性?
- 8. 改变查询字符串参数/值
- 9. Parse.com查询字符串变量值
- 10. 什么字符在查询字符串中不安全?
- 11. AJAX,PHP,JSON和查询字符串:如何安全有效地传递变量?
- 12. 属性路由和查询字符串
- 13. Ruby字符串可变性
- 14. 字符串不可变性
- 15. C#安全性:检查查询字符串有效的.pdf文件名
- 16. 查询字符串值
- 17. SQL查询中的插值和单引号字符串
- 18. 插入参数和值VAR的查询字符串
- 19. 基于可变参数值删除查询字符串部分
- 20. URL和字符串插值
- 21. 串联安全字符串
- 22. MVC Razor - 查询字符串影响TextBoxFor和Model属性的值
- 23. 全文查询字符串的全文查询参数无效
- 24. mod_rewrite的 - 固定和可变的查询字符串PARAMS
- 25. PHP/SQL查询 - 在字符串变量内插入变量
- 26. Elasticsearch Ngram和查询字符串查询
- 27. Scala如何在f字符串插值上获得类型安全性
- 28. RouteParams和查询字符串
- 29. 查询字符串和
- 30. Asp.net MVC 3全局查询字符串?
如果这样的事情是可能的,我不认为会有*这么多* web应用程序编写的PHP。 '$ _GET'也是一个数组,最终你会得到'$ _GET [$ secret]',所以如果'$ secret'的值不是'$ _GET'的有效数组键,那么仍然没有问题。 – Havelock
这是不可能的,除非你不小心写了'$$ _ GET ['id']''。 –