V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Exin
V2EX  ›  问与答

PHP 接收参数时需要检测吗?

  •  
  •   Exin · 2016-04-29 14:21:43 +08:00 · 1983 次点击
    这是一个创建于 3125 天前的主题,其中的信息可能已经有所发展或是发生改变。
    比如

    $val = $_GET[$key];
    func ($val); // 使用$val 的函数

    如果不事先 $paraSet = isset($_GET) && isset($_GET[$key]);
    那么可能返回状态码 500(?) ,但是程序会立即终止。

    这样在没有收到参数时通过异常自动结束程序,有没有什么危害?
    16 条回复    2016-04-30 07:38:28 +08:00
    b821025551b
        1
    b821025551b  
       2016-04-29 14:36:38 +08:00
    关键词: sql 注入, xss
    shiny
        2
    shiny  
       2016-04-29 14:39:45 +08:00
    可以考虑 filter_input 或者框架集成
    chend
        3
    chend  
       2016-04-29 14:40:48 +08:00
    对于 整形 我直接 intval()
    对于字符串 直接 htmlspecialchar()

    也不知道 有没有隐患。。。
    Exin
        4
    Exin  
    OP
       2016-04-29 14:41:13 +08:00
    @b821025551b 不是这个问题。
    我的问题是"检测变量是否被传入"而不是验证"已传入变量的安全性"。
    b821025551b
        5
    b821025551b  
       2016-04-29 14:55:44 +08:00
    @Exin 个人感觉:安全性(数据库)方面应该没什么影响,但是基于书本上说的,“安全性是系统设计、实现和管理的一部分,其作用是保证系统可以完全按照人们想要的方式运行”,那么不监测是否传入空值,从而产生异常程序死掉,这个程序就是“不安全”的。至于危害,
    站在测试人员角度:空值导致程序非正常运行, bug ,滚回去改;
    站在运维人员角度:满屏的 500 ,这么多 bug 滚回去改;
    站在用户角度:什么**网站, f ** k ,又**死了。
    那么你就第 N + 1 遍改代码喽。
    Exin
        6
    Exin  
    OP
       2016-04-29 15:01:53 +08:00
    @b821025551b 谢谢。
    zrp1994
        7
    zrp1994  
       2016-04-29 16:04:50 +08:00
    xmbaozi
        8
    xmbaozi  
       2016-04-29 16:48:35 +08:00
    isset($_GET) 必定是 true 啊
    Exin
        9
    Exin  
    OP
       2016-04-29 16:50:13 +08:00
    @xmbaozi 噢,对的。。手抖了
    xmbaozi
        10
    xmbaozi  
       2016-04-29 19:41:28 +08:00 via Android
    如果没有参数就是数组的键不存在,会有一个 notice ,不是致命错误,所以不会 500
    iyaozhen
        11
    iyaozhen  
       2016-04-29 20:07:28 +08:00 via Android
    还是要检测的,自己封装一个方法吧,不存在的时候给个默认值。
    zjqzxc
        12
    zjqzxc  
       2016-04-29 20:10:13 +08:00
    $val = isset($_GET['key']) ? $_GET['key']:0;
    如果不存在就给个默认值进去
    Exin
        13
    Exin  
    OP
       2016-04-29 20:16:52 +08:00
    @xmbaozi 的确不是直接 500 。一般是在 func($val)里面异常导致 500 。
    mahone3297
        14
    mahone3297  
       2016-04-29 21:16:06 +08:00
    这跟 php 没什么关系吧,其他语言,你也要判断吧。。。
    Exin
        15
    Exin  
    OP
       2016-04-29 21:19:32 +08:00
    @mahone3297 限定一下范围有助于话题展开。
    msg7086
        16
    msg7086  
       2016-04-30 07:38:28 +08:00
    @mahone3297 ruby 可以用 guard operator ,不用这么麻烦。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1933 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 16:20 · PVG 00:20 · LAX 08:20 · JFK 11:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.