大佬教程收集整理的这篇文章主要介绍了php – 邪恶是$_REQUEST,什么是可接受的援助对策?,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
你能提供一个很好的解释/证据,为什么$_requEST是不好的做法?我会抛出我挖掘的几个例子,并且会更多地了解理论攻击向量和现实世界漏洞的信息/观点,以及系统管理员可以采取的合理步骤来降低风险的建议(缺少重写应用程序…或者,我们需要去管理并坚持重写吗?
示例漏洞:默认GPC阵列merge-order意味着COOKIE值覆盖GET和POST,因此$_requEST可用于XSS和http攻击. php允许cookie vars覆盖超全局数组. this talk的前10张幻灯片给了例子(整个演讲很棒). phpMyAdmin exploit CSRF攻击示例.
示例对策:将GPC中的$_requEST数组合并顺序重新配置为CGP,以便GET / POST覆盖COOKIE,而不是相反.使用@L_262_3@阻止超级页面的覆盖.
(另外,不要问我是否认为我的问题是一个欺骗,但是很高兴地,“When and why should $_REQUEST be used instead of $_GET / $_POST / $_COOKIE?”的绝对的答案是“从不”.)
以上是大佬教程为你收集整理的php – 邪恶是$_REQUEST,什么是可接受的援助对策?全部内容,希望文章能够帮你解决php – 邪恶是$_REQUEST,什么是可接受的援助对策?所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。