文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >我的php代码安全吗?

我的php代码安全吗?
EN

Stack Overflow用户
提问于 2010-11-12 15:59:07
回答 3查看 169关注 0票数 0

我的php代码安全吗?

代码语言:javascript
复制
<?php

$item = (int)$_GET['item'];

if (!isset($_GET['item'])) {
    header('Location: index.php');
    exit;
}

$fileName = "items/" . $item . ".php";

if (file_exists($fileName)) {
    require_once ("items/" . $item . ".php");
} else {
    header('Location: index.php');
}

?>
php
include
get
require
unsafe
EN

回答 3

Stack Overflow用户

回答已采纳

发布于 2010-11-12 16:07:51

我可能会使用is_int()而不是强制转换。但是你的代码对我来说似乎没问题。

您应该使用ExceptionHandler处理异常消息。

在尝试访问$_GET‘’item‘之前,检查$_GET是否已定义为

票数 1
EN

Stack Overflow用户

发布于 2010-11-12 16:04:06

为了更好的安全性,我认为最好在item上添加验证:

代码语言:javascript
复制
$valid_items = array('item1', 'item2', 'item3');

if(in_array($item, $valid_items)) {
  // something if item is valid item
}
票数 2
EN

Stack Overflow用户

发布于 2010-11-12 17:23:29

您可以首先检查请求方法的类型,例如

代码语言:javascript
复制
if($_SERVER['REQUEST_METHOD'] != 'GET') { 
       header('Location: index.php'); exit; 
}


if (!isset($_GET['item'])) {
    header('Location: index.php');
    exit;
 }

 $item = (int)$_GET['item']; 
/*
 * just make sure that all you pass is numeric before typecasting it. If you're not                                           
 * sure...you can do this 
 * $item = is_numeric($_GET['item']) ? (int)$_GET['item'] : null; //or 0
 *
 */

 //your code here
票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/4162636

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档