我想编写一个脚本来编辑css文件,甚至可能是幻灯片,例如表单将更新我的php文档中的变量。我一直在做一些阅读,有人说由于安全问题和使用php,直接编辑xml文件是个坏消息。
我没有连接到数据库或类似的东西。所以我的问题是编写脚本直接编写/更新php文件以更改其变量是否正确?
谢谢。
答案 0 :(得分:1)
如果您可以正确清理输入,那么这是一个可用的方法。可能发生的最糟糕的是代码注入。所以要非常严格地检查可变长度和内容。它就像eval();只会更糟,因为其他人都会把它运行到。如果只有要更改的变量,您可以考虑使用 .ini 文件进行配置。并使用PHP脚本中的数据
答案 1 :(得分:0)
通常,您不应将PHP脚本作为具有写入其自身可执行代码权限的用户运行;这意味着任何文件写入漏洞都会立即升级为代码执行漏洞。
将动态数据写入PHP文件存在风险。您需要知道如何将任何值序列化/转义为PHP文本;任何错误都可能导致代码执行。防水代码生成通常是一件棘手的事情。
几乎可以肯定有更好的方法来接近你正在做的事情。将数据放在静态存储(例如配置文件或数据库)中,并在运行时读取数据似乎是开始的地方。