2

对PHP不是很熟悉,能不能让用户利用变量插值来获取secret的值?

<?php 
    $secret = 'hidden data';
    echo $_GET['id'];
?>

我尝试传入 id:$secret, %24secret, ${secret}, {$secret}, %7D%24secret%7D, %24%7Dsecret%7D。到目前为止,它似乎是安全的,但只是想确保我没有遗漏任何东西。提前致谢。

4

2 回答 2

3

不,用户不可能以这种方式检索硬编码的字符串。

于 2012-09-30T15:32:53.960 回答
1

不。

htmlentities($_GET["id"])无论如何都要使用,否则我们可以使用跨站点脚本攻击(窃取登录 cookie、会话数据等)。

于 2012-09-30T15:38:40.473 回答