我的PHP代码安全吗?

时间:2010-11-12 07:59:07

标签: php include get require unsafe

我的php代码安全吗?

<?php

$item = (int)$_GET['item'];

if (!isset($_GET['item'])) {
    header('Location: index.php');
    exit;
}

$fileName = "items/" . $item . ".php";

if (file_exists($fileName)) {
    require_once ("items/" . $item . ".php");
} else {
    header('Location: index.php');
}

?>

3 个答案:

答案 0 :(得分:2)

为了更好的安全性,我认为如果你在item上添加验证应该会更好:

$valid_items = array('item1', 'item2', 'item3');

if(in_array($item, $valid_items)) {
  // something if item is valid item
}

答案 1 :(得分:1)

我可以使用is_int()代替投射。但是你的代码对我来说似乎很好。

您应该使用ExceptionHandler处理异常消息。

检查$ _GET是否定义之前尝试访问$ _GET ['item']。

答案 2 :(得分:0)

您可以先检查请求方法的类型,例如

if($_SERVER['REQUEST_METHOD'] != 'GET') { 
       header('Location: index.php'); exit; 
}


if (!isset($_GET['item'])) {
    header('Location: index.php');
    exit;
 }

 $item = (int)$_GET['item']; 
/*
 * just make sure that all you pass is numeric before typecasting it. If you're not                                           
 * sure...you can do this 
 * $item = is_numeric($_GET['item']) ? (int)$_GET['item'] : null; //or 0
 *
 */

 //your code here
相关问题
最新问题