0

私のphpコードは安全ですか?

<?php

$item = (int)$_GET['item'];

if (!isset($_GET['item'])) {
    header('Location: index.php');
    exit;
}

$fileName = "items/" . $item . ".php";

if (file_exists($fileName)) {
    require_once ("items/" . $item . ".php");
} else {
    header('Location: index.php');
}

?>
4

3 に答える 3

2

セキュリティを強化するために、アイテムに検証を追加した方が良いと思います:

$valid_items = array('item1', 'item2', 'item3');

if(in_array($item, $valid_items)) {
  // something if item is valid item
}
于 2010-11-12T08:04:06.150 に答える
1

キャストの代わりにis_int()を使用できます。しかし、あなたのコードは私には問題ないようです。

ExceptionHandler で例外メッセージを処理する必要があります。

$_GET['item'] にアクセスする前に、$_GET が定義されているかどうかを確認してください。

于 2010-11-12T08:07:51.077 に答える
0

最初にリクエストメソッドのタイプを確認できます。

if($_SERVER['REQUEST_METHOD'] != 'GET') { 
       header('Location: index.php'); exit; 
}


if (!isset($_GET['item'])) {
    header('Location: index.php');
    exit;
 }

 $item = (int)$_GET['item']; 
/*
 * just make sure that all you pass is numeric before typecasting it. If you're not                                           
 * sure...you can do this 
 * $item = is_numeric($_GET['item']) ? (int)$_GET['item'] : null; //or 0
 *
 */

 //your code here
于 2010-11-12T09:23:29.043 に答える