php://输入安全吗?如果没有,如何保护它?

时间:2017-06-15 16:16:46

标签: php facebook facebook-messenger-bot

我最近观看了关于Facebook Messenger Bot的视频教程。为了从使用我的messenger bot的用户那里获取消息,facebook使用php:// input将raw json发送到我的服务器,然后我的服务器将它们作为回复消息发送回facebook。 Facebook没有使用任何参数将用户邮件转发到我的服务器。我只是害怕有人使用我的信使机器人攻击或收集有关我服务器的信息。

Mr.Tutorial使用的示例代码:

file_put_contents("fb.txt", file_get_contents("php://input"));

以下是视频:https://www.youtube.com/watch?v=E2KOqRceipM

1 个答案:

答案 0 :(得分:1)

php://input并不比您的电话更安全。如果你拿起电话并且有人告诉你烧毁你的房子,你会烧毁你的房子吗?可能不是。

如果您执行类似exec(php://input)(伪代码)的操作,那么您将度过糟糕的一天。如果您只是阅读输入流并正确处理您获得的数据,那就没问题。

输入流没有固有的安全性或不安全性。这就是你用它做的事情。