不熟悉PHP,用户是否可以利用变量插值来获取秘密值?
<?php
$secret = 'hidden data';
echo $_GET['id'];
?>
我尝试传入id:$ secret,%24secret,$ {secret},{$ secret},%7D%24secret%7D,%24%7Dsecret%7D。到目前为止似乎很安全,但只是想确保我没有遗漏任何东西。提前谢谢。
答案 0 :(得分:3)
不,用户不可能以这种方式检索硬编码字符串。
答案 1 :(得分:1)
没有
但是无论如何都要使用htmlentities($_GET["id"]),否则我们可以使用跨站点脚本攻击(窃取登录cookie,会话数据等)。