问使用foreach循环从$_POST安全问题中获取创建变量？
EN

Stack Overflow用户

提问于 2011-10-02 21:23:01

回答 1查看 356关注 0票数 2

在过去，我曾使用以下代码从发布的表单中创建变量。

foreach($_POST as $k=>$v)
{
    $$k = $v;
}

使用此方法有哪些安全风险？

我在试自动取款机。在这个版本中，在创建变量之前，它会删除除字母或数字以外的所有内容，这个版本怎么样？

foreach($_POST as $k=>$v)
{
    $k = preg_replace("/[^[:alnum:]]/","",$k);
    $$k=$v;
}

回答已采纳

发布于 2011-10-02 21:25:31

攻击者可以注入一个名为_SESSION的POST变量，并通过该变量在您的会话中写入数据，因此您将无法再信任您的会话。

票数 8

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/7626577

复制

相似问题

问使用foreach循环从$_POST安全问题中获取创建变量？EN