在尝试了解常见的安全漏洞时,我有一个非常简短的问题。 这个陈述能否通过一些聪明的输入变为现实?
if ($_GET["h"] != $_GET["h"]) {
}
(仅以此为例,未计划使用该确切代码:P)
答案 0 :(得分:3)
可能不是,但如果这是一个很大的问题,你最好不要使用不相同而不是不等于。
if ('1' != 1) { echo 'true'; } // Does not echo
if (1000 != "10e4") { echo 'true'; } // Does not echo
if ('1' !== 1) { echo 'true'; } // echoes true
详细了解PHP运算符:http://php.net/manual/en/language.operators.comparison.php
答案 1 :(得分:1)
据我所知。
来自$_GET的参数通过page.php?h=value之类的网址传输。提交后,人们无法在第一个$_GET和第二个{...}之间改变主意。