我已经提出了以下几段代码来在PHP类中通过AJAX调用方法:
PHP:
class Ajax extends Controller {
private $class;
private $method;
private $params;
function __construct()
{
$this->params = $_POST; // Call params
$call = explode('->', $this->params['call']);
$this->class = new $call[0]; // e.g. controller->method
$this->method = $call[1];
array_shift($this->params);
$this->parse();
}
public function index()
{
//Dummy
}
public function parse()
{
$r = '';
$r = call_user_func_array(array($this->class, $this->method), $this->params);
echo $r;
}
}
客户端:
function creditCheck2(id)
{
$.post(ROOT + 'Ajax', {call: 'Record->creditState', id: id, enquiryid: enquiryId}, function(data) {
alert(data)
}, 'json')
}
它似乎运作良好,但它是否安全并且可能更好?
仅供参考,我已将我的代码添加了答案建议的更改:
class Call extends Controller {
private $class;
private $method;
private $params;
private $authClasses = array(
'Gallery'
);
function __construct()
{
$this->params = $_POST; // Call params
$call = explode('->', $this->params['call']);
if(!in_array($call[0], $this->authClasses))
{
die();
}
$this->class = new $call[0]; // e.g. controller->method
$this->method = $call[1];
unset($this->params['call']);
$this->parse();
}
public function parse()
{
$r = '';
$param = array();
// Params in any order...
$mRef = new ReflectionMethod($this->class, $this->method);
foreach($mRef->getParameters() as $p) {
$param[$p->name] = $this->params[$p->name];
}
$this->params = $param;
if($r = @call_user_func_array(array($this->class, $this->method), $this->params))
{
echo $r;
}
else {
}
}
}
答案 0 :(得分:4)
可能更好的是array_shift($this->params)不必要地假设params数组中的第一项始终为call。这不是真的,它不同意你早些时候做的直接访问$this->params['call']。 array_shift应该只用unset($this->params['call'])替换。
还有一个问题是,params数组中的值的顺序必须与您尝试调用的方法的签名中的参数顺序相匹配。我不认为保证订单与AJAX请求中的参数顺序相同,因此这是理论上的问题。
更重要的是,这种做事方式强制 AJAX代码的作者,以匹配您尝试调用的方法的签名中的参数顺序。 这引入了可怕的耦合程度并且是一个主要问题。更糟糕的是,错误地改变参数的顺序并不明显。考虑:
public function bankTransfer($fromAccount, $toAccount, $amount);
$.post(ROOT + 'Ajax', {
call: 'Bank->bankTransfer',
from: "sender",
to: "recipient",
amount: 42
}, function(data) { ... });
这样可行。但如果你这样做
$.post(ROOT + 'Ajax', {
call: 'Bank->bankTransfer',
to: "recipient", // swapped the order of
from: "sender", // these two lines
amount: 42
}, function(data) { ... });
你会得到与预期相反的结果。我相信这很明显是非常糟糕。
要解决此问题,您必须使用反射来匹配$this->params中的数组键与被调用方法的参数的正式名称。
最后,这段代码是不安全的,因为任何人都可以发出请求,指示您的代码使用适当的参数调用任何类的任何方法 - 甚至是不应该从Web环境访问的方法。
这是另一个严重的问题,除非你向调度逻辑引入某种类型的过滤,否则无法修复。
答案 1 :(得分:2)
它似乎运作良好,但它是否安全并且可能更好?
您使用自己的框架还是使用其他框架?如果攻击者知道你的框架内部可能存在什么,我相信它根本不安全。例如:您的框架中有数据库类,攻击者可以执行以下操作:
{call: 'Database->execute', sql: 'SELECT * FROM information_schema.`tables`'}
您可以限制允许用户访问的班级数。例如:
if (!in_array($this->class, array('Record', 'Hello'))) {
die();
}
这是我刚刚学习的反射样本(感谢@Jon作为参考)。这解决了从PHP函数以不同顺序传递参数的问题。
class Email
{
public function send($from, $to, $msg) {
return "Send $from to $to: $msg";
}
}
$rawParam = array('msg' => 'Hello World',
'to' => 'to@gmail.com',
'from' => 'from@gmail.com');
$param = array();
// Rearrange
$methodRef = new ReflectionMethod('Email', 'send');
foreach($methodRef->getParameters() as $p) {
$param[$p->name] = $rawParam[$p->name];
}
var_dump($rawParam);
var_dump($param);