Question de sécurité PHP

Im assez sûr que cela est tout à fait bien, mais pour une raison Im paranoïaque pour cela que je n'ai pas habituellement jamais rien jeter non filtré dans une inclusion ou faire quelque chose comme ça, mais personne ne sait de tous les cas où cela n'est pas sûr et peut être exploité de quelque façon?



J'ai l'habitude d'utiliser une instruction switch pour ce genre de choses avec des valeurs pré-remplie, mais sa trop long et je ne le veux pas pour d'autres raisons.

Ce n'est pas de vérifier si la variable $ _REQUEST ["page"] existe avant de l'utiliser. Le code pourrait exposer un chemin de fichier via une notification d'erreur en fonction de la valeur de error_reporting.

Est-ce quelque chose comme ça vous font penser différemment?

Eh bien oui, ce n'est pas de vérifier si la demande existe dans cet exemple, j'ai omis cette ligne, sa théorie assez bien quand même.

Ive jamais vu ça strcspn () la fonction dont je me souvienne, j'ai aussi raté avec elle, il semble juste retour de l'int ou parfois même l'entrée même, peu importe si la chaîne contient ou ne contient pas ces caractères, vous êtes sûr que la fonction est un filtre fiable? Je trouve cela intéressant bien.

appel Nice sur ce is_readable () d'erreur chemin du fichier. J'ai beaucoup de pages, qui peut être bonne, mais la question...Est-is_readable () lent? Im essayant de garder le chargement de la page optimisée.

Merci à Joe lot

strcspn peut être un peu déroutant. J'ai régulièrement consulter le manuel après avoir quelque temps sans l'utiliser parce que je suis strcspn et strspn mélangé parce qu'ils ne la chose exactement le contraire. Bien que j'ai une idée pour se rappeler qui on est, qui en ce moment et III de cela plus tard.

strcspn regarde essentiellement pour les caractères qui ne sont pas dans ce masque. Du manuel,



Si vous suivez à la fonction de la source, vous venez à cette où vous pouvez voir comment la fonction fonctionne en interne. Elle marche seulement à travers la chaîne de la recherche de quelque chose, il ne s'attend pas, cherche alors quelque chose qu'il ne s'attendent et renvoie la longueur de ce segment.

etc / standard / string.c: 1571



Tout retour strcspn temps un certain nombre autre que zéro, theres mauvais caractères dans l'entrée et nous écraser l'entrée toute mauvaise avec la valeur par défaut. Ceci est juste un simple cours de l'action après avoir constaté des entrées incorrectes, en réalité, vous auriez probablement finir par les fautes de frappe possible, vérifier une table 301, ou quelque chose du genre.

Maintenant, autant que ce truc pour se souvenir de la fonction ne dont j'ai déjà parlé, Ill à emprunter un commentaire du manuel PHP.



Si je me souviens strcspn et strspn que les classes de caractères à partir d'expressions régulières, il me suffit de rappeler que dans une classe de caractères complémentée il, que le caractère extra "^" et dans le strcspn nom de la fonction il ya aussi un caractère supplémentaire «C».

-

Je ne peux vraiment pas dire grand-chose is_readable, je l'utilise dans l'exemple parce que le ton de la conversation semble être la sécurité et l'erreur-prevension-sage est is_readable moins sujets aux accidents que quelque chose comme file_exists. Je préfère utiliser file_exists. Im assez bien à s'assurer quelque chose se passe au travail avant qu'il ne devienne, à l'aide de valeurs par défaut comme je le fais Im ne vais pas faire une erreur à propos d'un fichier illisible, sauf par un échec catastrauphic, et des theres aucune raison pour que mon autorisations de fichier pour changer plus tard.

Damn cette fonction PHP est source de confusion. Je viens de télécharger moi une copie de la source du code PHP mais (si je peux comprendre la moitié de celle-ci). J'ai pensé qu'il valait la peine doit être étant donné que vous garder le montrer à moi dans les discussions.

Quoi qu'il en soit, je pense que nous avons un homme problème. Dire que j'ai eu le script suivant...



Si la page est "abc", alors le résultat est: 0
Si la page est "DABC", alors le résultat est: 1
Si la page est «abcd», puis le résultat est: 0 (Oui, ZERO, uh oh)

Donc, vous ne pouvez pas vraiment compter sur que pour la sécurité tristement.

Eh bien maintenant, c'est un problème. J'ose le dire, il semble même comme un bogue dans la fonction.

Qu'en est-il en utilisant strspn en combinaison avec strlen alors?

lol, je pense Im allant coller avec regex et ctype si j'ai besoin ou autre chose, l'homme Merci. haha

Ouais, j'ai fait beaucoup de grep-ment après ce poste et viennent de découvrir que je ne pas utiliser la fonction strcspn n'importe où sur n'importe lequel de mes sites ou des scripts. Je pense que ses une de ces choses qui sonne comme une très bonne idée un jour, mais je n'ai jamais réussi à mettre en œuvre.

J'ai soumis un rapport de bogue de documentation pour PHP.net, il a besoin pour être plus clair dans la description de la fonction que quand ils disent "initial", cela signifie le début du sujet d'essai, et non la section initiale de mauvais caractères trouvée.

Ah cool

Reçu de réponse à mon rapport de bug pour le manuel PHP sur strcspn, theres maintenant un exemple de code dans la copie SVN du manuel, le manuel en ligne devrait suivre tôt ou tard.

http://svn.php.net/viewvc/?view=revisio ... ion=302077

lol, Nice.