शायद मैं थोड़ा उलझन में हूं, लेकिन जैसा कि मैं एक संपर्क मॉड्यूल को फिर से लिख रहा हूं, निम्नलिखित प्रश्न ध्यान में आया:PHP के मूल कार्यों को unfiltered इनपुट के साथ उपयोग करने के लिए कितने सुरक्षित हैं?
क्या मैं php के मूल कार्यों में unfiltered इनपुट का उपयोग कर सकता हूं?
यह एक डेटाबेस में डाल करने के लिए सामान, स्क्रीन करने के लिए उत्पादन, आदि को साफ़ करने में आसान है, लेकिन अगर उदाहरण के लिए निम्नलिखित बयान खतरनाक हो सकता है मैं सोच रहा था:
if (file_exists($_POST['brochure'])) {
// do some stuff
}
अगर किसी को किसी भी तरह पोस्ट करने में कामयाब उस पृष्ठ पर, उपर्युक्त कोड का शोषण किया जा सकता है?
उपर्युक्त कोड केवल एक उदाहरण है, मैं किसी अन्य प्रसंस्करण के दौरान उपयोग किए जाने वाले अन्य कार्यों के बारे में सोच सकता हूं।
संपादित करें: धन्यवाद सब लोग, उदाहरण में file_exists वास्तव में एक स्वच्छता समारोह के हिस्से के लेकिन जब सफाई है, php कार्यों के लिए इस्तेमाल किया जा रहा है ताकि यह तेजी से एक चिकन और अंडे की कहानी बनता जा रहा है: कार्यों का उपयोग करने के लिए, मेरे पास है साफ करने के लिए, लेकिन साफ करने के लिए मुझे कार्यों का उपयोग करना है।
वैसे भी, मुझे अब कुछ नए विचार मिल गए हैं।
php apache तुलना में बहुत अधिक फ़ाइलों तक पहुँच नहीं है। .ht * और .ini फ़ाइलों को प्रदर्शित करने से अपाचे को रोकना php को पढ़ने से रोक नहीं पाएगा। – Marius
@ मैरियस यह बहुत सच है। – UnkwnTech
उत्कृष्ट बिंदु gents। मैं यहां चौंकाने वाली चीजें सीख रहा हूं :) – m42