0
내 phpBB3을 수정하고 URL의 변수를 잡아 $ _GET 메소드를 사용해야합니다.
그냥 $ _GET을 사용하면 내 phpBB3의 취약점이 증가하지 않을까요? phpBB3에서 더 안전하게 만들 수있는 함수가 있습니까?
감사합니다.
A
답변
2
phpBB3에서 request로부터 data를 얻는 최선의 방법은 request_var() 함수를 사용하는 것입니다. http://wiki.phpbb.com/display/DEV/Function.request+var
$ _GET 대신 $ _POST의 즐겨 찾기의 가능한 발행 (피하기 위해 간단) 암호
1
phpBB3은 대부분 $ _GET 내용을 확인합니다. 정수가 필요한 경우 intval ($ _ GET [ 'variablename']) 또는 htmlspecialchars ($ _ GET [ 'variablename'] 문자열을 사용할 수 있습니다 ..
2
phpbb3이 사용할 수있는 기능이 무엇인지 모르겠습니다. $ _GET을 사용한다는 사실만으로도 소프트웨어의 취약점이 반드시 증가하지는 않습니다.
더 중요한 $ _GET을 사용하여 계획하고있는 내용입니다.
1
$_GET을 사용해도 아무런 문제가 없지만 표준 php 함수를 사용하여 데이터를 정리해야합니다. 예를 들어, phpbb3 소프트웨어의 업데이트가있을 때마다 다시 조정해야합니다. uch를 htmlgetchars() 및 strip_tags()으로 설정하고 사용자 정의 정규 표현식 문자열을 사용하여 입력에 올바른 유형의 데이터가 있는지 확인하십시오 (예 : 문자 만 예상하는 경우 숫자가없고 숫자 만 입력하거나 문자 또는 구두점이없는 경우) .
+0
흠이 포함 된 URL을 제외한 응용 프로그램의 보안에 관련이 사용 – MacMac
+1
사용자가 제출 한 데이터 (또는 사용자가 변경할 수있는 모든 데이터)에 해당합니다. GET 특유의 것이 아닙니다. –
하지만 변수는에 사용됩니다 LIKE에 대한 SQL 쿼리입니다. 따라서 $ _GET이 어떤 방식 으로든 정리되지 않으면 취약점을 오도 할 수 있습니다. 맞습니까? – symcbean