1

在扫描 Drupal 代码时,我收到此消息“此调用包含参数注入缺陷。该函数的参数是使用用户提供的输入构造的,而没有正确分隔或清理它。” 它指的是:

$default_line_endings = TRUE;
ini_set('auto_detect_line_endings', (bool) $default_line_endings);

我在 Drupal 模块中内联使用它。有什么想法可以避免这种情况吗?我需要这样使用该变量。

4

1 回答 1

1

这是一个安全警告,因为您的 ini 配置取决于一个变量。

虽然看起来变量的值实际上并不取决于用户的输入,但请考虑尝试以下操作:

$default_line_endings = TRUE;
...
...

if(!$default_line_endings)
    ini_set('auto_detect_line_endings', false);
else
    ini_set('auto_detect_line_endings', true);
于 2016-09-12T12:24:07.303 回答