2

PHP にあまり詳しくありませんが、ユーザーが変数補間を利用してシークレットの値を取得することは可能ですか?

<?php 
    $secret = 'hidden data';
    echo $_GET['id'];
?>

ID を渡そうとしました: $secret、%24secret、${secret}、{$secret}、%7D%24secret%7D、%24%7Dsecret%7D。これまでのところ安全に見えますが、何も見逃していないことを確認したいだけです。前もって感謝します。

4

2 に答える 2

3

いいえ、ユーザーがこの方法でハードコードされた文字列を取得することは不可能です。

于 2012-09-30T15:32:53.960 に答える
1

いいえ。

ただし、htmlentities($_GET["id"])とにかく使用してください。そうしないと、クロスサイトスクリプティング攻撃(ログインCookie、セッションデータなどを盗む)を使用できるためです。

于 2012-09-30T15:38:40.473 に答える