当register_globals为ON时,应该注意哪些问题? TO fangwei1(杨威利): 再详细说明一下或举个例子,可以吗? 谢谢! 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 不会有什么大的安全问题,管理员说的对,只要程序里写的没问题,不会因为仅仅打开register_globals就有问题,个人认为你要在传递参数时注意特殊字符等等的安全过滤,例如%20 ../等等 http://community.csdn.net/Expert/TopicView.asp?id=3699537 不管什么变量,都用$_POST,$_GET,$_COOKIE等超全局变量,然后加个检查就没关系了,不要直接用表单过来的变量。比如:传过来xxx.php?username=admin类似的,对以下写法都无效了。程序里这么写:$username = $_POST['username'];// 就算GET方法传过来也会被重新赋值的if (check($username)/*检查一下*/){}检查的时候特别要防止SQL注入 比如说,我在 a页面中用了 b.php?id=XX 的链接,当打开b.php页面时,首先检查session值,如果session不存在,则不显示页面b.php,这样会不会有安全因素呢? id=xx 与session有什么关系?? 既然是id,那你就限定所接收的值必须都是数字,这样就不那么容易被注入了 TO fangwei1(杨威利): 不好意思,是我没表达清楚,我设置了session['name'],在进入b.php?id=xx时,先检查session['name']是否存在,如果不存在,则不显示b.php?id=xx页面内容,这样写有安全问题吗? TO fangwei1(杨威利): 不好意思,是我没表达清楚,我设置了session['name'],在进入b.php?id=xx时,先检查session['name']是否存在,如果不存在,则不显示b.php?id=xx页面内容,这样写有安全问题吗?这样做不安全吧?如果别人注册是sesion,不管是不是对的都通过,比较不安全最好能够对它的session的值进行判断,重新去数据库匹配一下,确认是不是正确的 发表回帖的实现过程 谁帮到我 重谢 关于Resin下使用memorycache的问题 关于类变量定义和类函数变量定义 高分求有偿程序!!!顶者也有分. PHP发布的问题! 控件取值问题 请问IIS 5.0的配置文件在那里?就像Apache的可以自己设置配置的ini intval遇到小数为什么会减1 TP SQL执行失败 新手,求证php5+postgres(使用UML去思考和辅助开发)的可行性 请问一个数组的问题
程序里这么写:
$username = $_POST['username'];// 就算GET方法传过来也会被重新赋值的
if (check($username)/*检查一下*/)
{
}检查的时候特别要防止SQL注入
这样做不安全吧?
如果别人注册是sesion,不管是不是对的都通过,比较不安全
最好能够对它的session的值进行判断,重新去数据库匹配一下,确认是不是正确的