$_REQUESTクッキーデータも含まれているので悪いことはわかっています。
$_REQUESTある種のクリーンな関数を使用する場合、それでも使用するのは悪いですか?誰かが詳しく説明できるでしょうか?
1 に答える
3
$_REQUEST特に危険なものではありません。ユーザー入力はすべて攻撃になる可能性があるため、そのように扱う必要があります。任意の入力媒体について$_GET、$_POST適切$_COOKIEな方法を使用しintval()てpreg_match()、受け取った値が期待どおりであることを確認します。
たとえば、ファイル名を期待してユーザーに送信する場合は、ファイル名が含まれていないことを確認して..ください/。そうしないと、ユーザーはファイルシステムにアクセスできなくなります。
ユーザーが生成した値をデータベースに挿入する場合は、古いmysql_real_escape_string、またはより優れた PDO または mysqli の準備済みステートメントを使用して、値をエスケープしていることを確認してください。
于 2012-08-22T15:59:40.627 に答える