我们正在使用Chef来供应我们的机器。最近发现,CentOS的Chef PHP食谱没有设置request_order参数。它使用variables_order参数,该参数设置为EGPCS。
php.ini的文档说
...出于安全考虑,默认分发php.ini文件不包含Cookie的“ C”。
我的问题是实际的安全问题是什么?
我不是PHP开发人员,我要求的几个开发人员设法给出了模棱两可的答案。 Google也没有帮助
答案 0 :(得分:0)
request_order 字符串
此指令描述了PHP 将GET,POST和Cookie 变量注册到_REQUEST 数组中的顺序。注册从左到右完成,新值覆盖旧值。
如果未设置此指令,则$ _REQUEST内容将使用variables_order。
请注意,出于安全考虑,默认的发行版php.ini文件不包含Cookie的“ C”。
因此,这意味着默认情况下,您的$_REQUEST将不包含$_COOKIE中的参数。
这意味着,如果您使用Cookie $_COOKIE['is_admin'] = false,则在滥用http://example.com/?is_admin=1超全局变量时将无法通过$_REQUEST来更改Cookie值。
例如将Cookie填充到if ($_REQUEST['is_admin']){$this->showAllPasswords()}
$_REQUEST