我打算问最好的办法是什么,但后来决定我是否应该问它是否必要.我从未在JSP开发过程中看到它,但它似乎是常见的做法PHP.这背后的原因是什么,如果我不保护这一点,我还应该考虑什么呢?
这在PHP中比其他类似语言更常见的原因与PHP的历史有关.早期版本的PHP将"register_globals"设置为默认设置(实际上,它甚至可能不是真正早期版本中的设置).Register_globals告诉PHP根据查询字符串定义全局变量.所以如果你这样查询这样一个脚本:
http://site.com/script.php?hello=world&foo=bar
...脚本会自动定义一个值为"world"的变量$ hello和一个值为"bar"的$ foo.
对于这样的脚本,如果您知道关键变量的名称,则可以通过在查询字符串上指定这些变量来利用该脚本.解决方案?在核心脚本中定义一些魔术字符串,然后让所有的ancilliary脚本检查魔术字符串,如果它不存在则保释.
值得庆幸的是,几乎没有人再使用register_variables了,但是许多脚本编写得非常糟糕并且做出了愚蠢的假设,如果它们被脱离上下文而导致它们造成损害.
就个人而言,我通过使用Symfony框架来避免这一切,Symfony框架(至少在其默认设置中)将控制器和模板完全保留在Web根目录之外.唯一的切入点是前端控制器.
京公网安备 11010802040832号 | 京ICP备19059560号-6 