-2

I would like to write a script to edit a css file or maybe even a slideshow for instance where a form will update the variables in my php document. I've been doing some reading and some say editing a php file directly is bad news due to security issues and to use xml.

I am not connecting to databases or anything like that. So my question is is this correct to write script to directly write/update a php file to changes its variables?

Thank you.

4

2 回答 2

1

如果您可以正确清理输入,那么这是一种可用的方法。可能发生的最糟糕的情况是代码注入。所以一定要非常严格地检查可变长度和内容。它就像eval();只是更糟,因为其他人都会运行它。如果只有变量需要更改,您可以考虑使用.ini文件进行配置。并使用您的 PHP 脚本中的数据

于 2013-08-29T19:14:39.653 回答
0

  1. 一般来说,您不应该以有权写入自己的可执行代码的用户身份运行 PHP 脚本;这意味着任何文件写入漏洞都会立即升级为代码执行漏洞。

  2. 将动态数据写入 PHP 文件是有风险的。您需要知道如何准确地将任何值序列化/转义为 PHP 文字;任何错误都可能导致代码执行。无懈可击的代码生成通常是一件棘手的事情。

几乎可以肯定有更好的方法来处理你正在做的任何事情。将数据放入静态存储(例如配置文件或数据库)并在运行时读取数据似乎是开始的地方。

于 2013-08-30T10:20:37.123 回答