我想对我的 phpBB3 进行修改,它需要通过获取 URL 中的变量来使用 $_GET 方法。
但是仅仅使用 $_GET 会增加我的 phpBB3 的漏洞,不是吗?phpBB3 中是否有可以使其更安全的功能?
谢谢。
在 phpBB3 中,从请求中获取数据的最佳和最安全的方法是使用 request_var() 函数。 http://wiki.phpbb.com/display/DEV/Function.request+var
我不确定 phpbb3 可能有什么样的功能,但只是你使用 $_GET 的事实并不一定会增加软件的漏洞。
更重要的是您计划使用 $_GET 做什么。而且您还需要考虑到,当phpbb3软件有更新时,您每次都需要重新进行调整。
phpBB3 大多只是检查 $_GET 内容。如果需要整数,可以使用 intval($_GET['variablename']) 或 htmlspecialchars($_GET['variablename'] 作为字符串。
使用 没有任何问题,但您还应该清理数据,使用标准php$_GET
函数(如htmlgetchars()
and strip_tags()
, 应该没有数字,如果只有数字,则不能有字母或标点符号)。