1

我想出了以下代码来在我的 PHP 类中通过 AJAX 调用方法:

PHP:

class Ajax extends Controller {

    private $class;
    private $method;
    private $params;

    function __construct()
    {
        $this->params = $_POST; // Call params
        $call = explode('->', $this->params['call']);
        $this->class = new $call[0]; // e.g. controller->method
        $this->method = $call[1];
        array_shift($this->params);
        $this->parse();
    }

    public function index()
    {
        //Dummy
    }

    public function parse()
    {
        $r = '';
        $r = call_user_func_array(array($this->class, $this->method), $this->params);
        echo $r;
    }
}

客户:

function creditCheck2(id)
{
    $.post(ROOT + 'Ajax', {call: 'Record->creditState', id: id, enquiryid: enquiryId}, function(data) {
        alert(data)
    }, 'json')
}

它似乎工作得很好,但它是否安全并且可以更好吗?

仅供参考,我已经添加了我的代码以及答案建议的更改:

class Call extends Controller {

  private $class;
  private $method;
  private $params;
  private $authClasses = array(
      'Gallery'
  );

  function __construct()
  {
    $this->params = $_POST; // Call params
    $call = explode('->', $this->params['call']);

    if(!in_array($call[0], $this->authClasses))
    {
      die();
    }
    $this->class = new $call[0]; // e.g. controller->method
    $this->method = $call[1];
    unset($this->params['call']);
    $this->parse();
  }

  public function parse()
  {
    $r = '';
    $param = array();

    // Params in any order...
    $mRef = new ReflectionMethod($this->class, $this->method);
    foreach($mRef->getParameters() as $p) {
      $param[$p->name] = $this->params[$p->name];
    }
    $this->params = $param;

    if($r = @call_user_func_array(array($this->class, $this->method), $this->params))
    {
      echo $r;
    }
    else {

    }
  }

}
4

2 回答 2

4

小问题

如果array_shift($this->params)不必要地假设 params 数组中的第一项将始终是call. 这不是真的,它不同意$this->params['call']你刚才做的直接访问。array_shift应该简单地替换为unset($this->params['call']).

更大的问题

还有一个问题是 params 数组中的值顺序必须与您尝试调用的方法的签名中的参数顺序相匹配。我认为不能保证顺序与 AJAX 请求中参数的顺序相同,所以这是一个理论上的问题。

非常大的问题

更重要的是,这种处理方式迫使AJAX 代码的作者与您尝试调用的方法的签名中的参数顺序相匹配。这引入了可怕的耦合水平,并且是一个主要问题。更糟糕的是,错误地更改参数的顺序不会很明显。考虑:

public function bankTransfer($fromAccount, $toAccount, $amount);

$.post(ROOT + 'Ajax', {
    call: 'Bank->bankTransfer', 
    from: "sender",
    to: "recipient",
    amount: 42
}, function(data) { ... });

这会奏效。但如果你这样做

$.post(ROOT + 'Ajax', {
    call: 'Bank->bankTransfer', 
    to: "recipient", // swapped the order of
    from: "sender",  // these two lines
    amount: 42
}, function(data) { ... });

您将得到与预期相反的结果。我相信很明显这是非常糟糕的

要解决该问题,您必须使用反射将数组键$this->params与被调用方法的参数的正式名称相匹配。

安全

最后,此代码是不安全的,因为任何人都可以发出请求,指示您的代码调用具有适当参数的任何类的任何方法——甚至是不应从 Web 环境访问的方法。

这是另一个严重的问题,除非您在调度逻辑中引入某种类型的过滤,否则无法真正解决。

于 2013-08-29T09:22:33.637 回答
2

它似乎工作得很好,但它是否安全并且可以更好吗?

您是使用自己的框架还是使用其他框架?如果攻击者知道您的框架内可能包含什么,我相信它根本不安全。例如:您的框架中有数据库类,攻击者可以执行以下操作:

{call: 'Database->execute', sql: 'SELECT * FROM information_schema.`tables`'}

过滤

您可以限制允许用户访问的课程数量。例如:

if (!in_array($this->class, array('Record', 'Hello'))) {
    die();
}

反射

这是我刚刚学习的反射示例(感谢@Jon 提供参考)。这解决了以与 PHP 函数不同的顺序传递参数的问题。

class Email
{
    public function send($from, $to, $msg) {
        return "Send $from to $to: $msg";
    }
}

$rawParam = array('msg' => 'Hello World', 
               'to' => 'to@gmail.com', 
               'from' => 'from@gmail.com');
$param = array();

// Rearrange
$methodRef = new ReflectionMethod('Email', 'send');
foreach($methodRef->getParameters() as $p) {
    $param[$p->name] = $rawParam[$p->name];
}

var_dump($rawParam);
var_dump($param);
于 2013-08-29T09:26:08.497 回答