我看到php教程中显示的很多表单都是不安全的。但我从来没有看到有人在这些教程中添加了“非常完整和安全的表单。任何人都可以展示一种非常简单(最小)的方式来检查和清理表单吗?
查看示例: 这是我的add.php https://github.com/taylorchu/goobbs/blob/master/add.php
任何人都可以尝试在其中找到安全漏洞并提供“合理的简单修复”吗?
答案 0 :(得分:1)
安全是相对的。我并不是说你的表格不需要任何表格,但它可能不需要复杂程度,如银行表格,可能需要实施。话虽如此,让我看看我能找到什么......
浏览您的脚本,您可能会遇到潜在的会话劫持漏洞。如果我能找出你的$ _SESSION ['role']可以设置的可能选项(我猜“用户”和“管理员”),那么我可以通过你的IF条件。考虑要求使用唯一的会话令牌来解决此问题。另外,退一步后,您将需要考虑在实际使用之前通过htmlentities()和可能的其他过滤器运行$ _GET数据。否则,是什么阻止我设置我的$ _GET ['topic']来完成你的IF语句并执行我自己的恶意代码?
但是,这一切都是相对的。