PHP 安全地转换 $_GET / $_POST 数组

Question

我正在检查我的脚本是否存在漏洞，并且对我过去的做法感到震惊，这是非常不安全的：

foreach ($_GET as $key => $value){
    $$key = $value;
}

或更短

extract( $_GET );

我用 firebug 更改了一些 POST/GET 变量以匹配我在脚本中使用的名称。 如果名称猜对了，它们可以被覆盖。

所以我想我必须像这样单独命名： $allowed_vars =

$allowed_vars = array("time","hotfile","netload","megaupload","user","pfda","xyz","sara","amount_needed");
    foreach ($_GET as $key => $value)
        {
             if (in_array($key,$allowed_vars))
                {
                    $$key = $value;
                }
        }

这种方式比单独命名它们节省了一些时间。

为此必须使用什么样的自动化？

Answer 1

我不使用任何那种自动化。
我认为将请求变量自动分配给全局变量没有意义。
如果是一两个变量，我可以手动处理。
如果还有更多，我宁愿将它们保留为数组成员以方便处理。

然而，我正在使用某种类似于您的白名单方法。 但不是从 POST 数据中创建全局变量，而是将该数据添加到 SQL 查询中。

就像在这个简单的辅助函数中生成 SET 语句：

function dbSet($fields) {
  $set='';
  foreach ($fields as $field) {
    if (isset($_POST[$field])) {
      $set.="`$field`='".mysql_real_escape_string($_POST[$field])."', ";
    }
  }
  return substr($set, 0, -2); 
}

$id     = intval($_POST['id']);
$fields = explode(" ","name surname lastname address zip fax phone");
$query  = "UPDATE $table SET ".dbSet($fields)." stamp=NOW() WHERE id=$id";

Answer 2

完全不提取它们可以节省更多时间。只需从 $_GET 数组中使用它们。这样做的好处不仅在于避免与脚本变量发生冲突（或更糟），而且还在于您在添加请求参数时不必更新“自动化”。

当我处理来自表单的 POST 数据时，我经常明确地处理每个数据：

$data = array();
$data['field1'] = someSaniFunction($_POST['field1']);
$data['field2'] = someOtherFunction($_POST['field2']);
...

这样我确保每个字段都得到正确处理，并且只触及我期望的字段。

Answer 3

根据我的经验，您不应该使用 $$ 将 $_REQUEST 数组中的数据转换为变量，因为它可能会覆盖当前范围内的变量。

相反，您应该考虑使用请求对象或数组来过滤数据并仅访问您需要的命名变量。这样一来，您不必继续扩展允许的变量名称并仍然保持安全性。

例如，ZF 有一个请求对象，他们建议在处理此数据时使用输入过滤器： http://framework.zend.com/manual/en/zend.filter.input.html

Answer 4

您可以以更安全的方式使用提取功能：

extract($_REQUEST, EXTR_SKIP);

这不会覆盖代码中已经存在的变量。请参阅here 了解您可以使用的其他参数