PHP 接收参数时需要检测吗? - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Exin

PHP 接收参数时需要检测吗?

  •  
  •   Exin 2016 年 4 月 29 日 2441 次点击
    这是一个创建于 3647 天前的主题,其中的信息可能已经有所发展或是发生改变。
    比如

    $val = $_GET[$key];
    func ($val); // 使用$val 的函数

    如果不事先 $paraSet = isset($_GET) && isset($_GET[$key]);
    那么可能返回状态码 500(?) ,但是程序会立即终止。

    这样在没有收到参数时通过异常自动结束程序,有没有什么危害?
    16 条回复    2016-04-30 07:38:28 +08:00
    b821025551b
        1
    b821025551b  
       2016 年 4 月 29 日
    关键词: sql 注入, xss
    shiny
        2
    shiny  
    PRO
       2016 年 4 月 29 日
    可以考虑 filter_input 或者框架集成
    chend
        3
    chend  
       2016 年 4 月 29 日
    对于 整形 我直接 intval()
    对于字符串 直接 htmlspecialchar()

    也不知道 有没有隐患。。。
    Exin
        4
    Exin  
    OP
       2016 年 4 月 29 日
    @b821025551b 不是这个问题。
    我的问题是"检测变量是否被传入"而不是验证"已传入变量的安全性"。
    b821025551b
        5
    b821025551b  
       2016 年 4 月 29 日
    @Exin 个人感觉:安全性(数据库)方面应该没什么影响,但是基于书本上说的,“安全性是系统设计、实现和管理的一部分,其作用是保证系统可以完全按照人们想要的方式运行”,那么不监测是否传入空值,从而产生异常程序死掉,这个程序就是“不安全”的。至于危害,
    站在测试人员角度:空值导致程序非正常运行, bug ,滚回去改;
    站在运维人员角度:满屏的 500 ,这么多 bug 滚回去改;
    站在用户角度:什么**网站, f ** k ,又**死了。
    那么你就第 N + 1 遍改代码喽。
    Exin
        6
    Exin  
    OP
       2016 年 4 月 29 日
    @b821025551b 谢谢。
    zrp1994
        7
    zrp1994  
       2016 年 4 月 29 日
    xmbaozi
        8
    xmbaozi  
       2016 年 4 月 29 日
    isset($_GET) 必定是 true 啊
    Exin
        9
    Exin  
    OP
       2016 年 4 月 29 日
    @xmbaozi 噢,对的。。手抖了
    xmbaozi
        10
    xmbaozi  
       2016 年 4 月 29 日 via Android
    如果没有参数就是数组的键不存在,会有一个 notice ,不是致命错误,所以不会 500
    iyaozhen
        11
    iyaozhen  
       2016 年 4 月 29 日 via Android
    还是要检测的,自己封装一个方法吧,不存在的时候给个默认值。
    zjqzxc
        12
    zjqzxc  
       2016 年 4 月 29 日
    $val = isset($_GET['key']) ? $_GET['key']:0;
    如果不存在就给个默认值进去
    Exin
        13
    Exin  
    OP
       2016 年 4 月 29 日
    @xmbaozi 的确不是直接 500 。一般是在 func($val)里面异常导致 500 。
    mahone3297
        14
    mahone3297  
       2016 年 4 月 29 日
    这跟 php 没什么关系吧,其他语言,你也要判断吧。。。
    Exin
        15
    Exin  
    OP
       2016 年 4 月 29 日
    @mahone3297 限定一下范围有助于话题展开。
    msg7086
        16
    msg7086  
       2016 年 4 月 30 日
    @mahone3297 ruby 可以用 guard operator ,不用这么麻烦。
    关于     帮助文档     自助推广系统   博客     API     FAQ     Solana     2816 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 48ms UTC 11:44 PVG 19:44 LAX 04:44 JFK 07:44
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86