我想对我的phpBB3进行修改,并且需要通过抓取URL中的变量来使用$ _GET方法。
但只是使用$ _GET增加了我的phpBB3的漏洞不是吗?在phpBB3中是否有一个能让它更安全的功能?
感谢。
答案 0 :(得分:2)
我不确定phpbb3可以使用哪种函数,但只是你使用$ _GET这一事实并不一定会增加软件的漏洞。
这是你计划用$ _GET做的更重要的事情。而且你还需要考虑到当phpbb3软件有更新时,你需要每次都重新进行调整。
答案 1 :(得分:2)
在phpBB3中,从请求中获取数据的最佳和最安全的方法是使用request_var()函数。 http://wiki.phpbb.com/display/DEV/Function.request+var
答案 2 :(得分:1)
phpBB3主要只检查$ _GET内容。如果需要整数,可以使用intval($ _ GET ['variablename'])或htmlspecialchars($ _ GET ['variablename']作为字符串。
答案 3 :(得分:1)
使用$_GET没有任何问题,但你也应该使用标准的PHP函数(如htmlgetchars()和strip_tags())以及可能的自定义正则表达式字符串来清理数据,以确保输入具有正确的数据类型(例如,如果您只是期望字母,则不应该有数字,如果只有数字,没有字母或标点符号)。