如何避免php中的“可能的流控漏洞”？

Question

我在Checkmarx扫描以下PHP代码时发现了一个安全漏洞--可能是流控制严重程度--低。在使用IF或isset()时出现错误

​

​

​

谢谢!！

Answer 1

这是因为您依赖于POST变量的原始值进行流控制(即决定执行哪些代码)。这是一种风险(都是低风险)，因为攻击者可能会强制您的代码以他们的判断力或以您可能没有预料到的方式执行代码。

如果看不到这里的整个代码，很难知道这对你来说是不是一个问题，只有你才能确定。它本身不是你需要改变或修复的东西，只是需要注意的东西。

Answer 2

在第一段代码中，在访问索引之前，您需要检查$_POST数据是否存在。

if (empty($_POST['maintDetail']))
   return;
 $myVar = $_POST['mainDetails'];//safe!

对于你发布的第二个代码块，我不确定。在我看来没问题。虽然你应该检查!empty，如果你想要有明确的内容，因为技术上会设置一个空字符串。如果您想了解更多相关信息，请查看this page。