网站开发和网站运营的区别,软件定制开发如何报价,广西建设网官网住房和城乡厅官网官方网,化妆品企业网站案例大全几个重要的php.ini选项Register Globalsphp4.2.0,php.ini的register_globals选项的默认值预设为Off,当register_globals的设定为On时,程序可以接收来自服务器的各种环境变量,包括表单提交的变量,而且由于PHP不必事先初始化变量的值,从而导致很大的安全隐患.例1://check_adm…几个重要的php.ini选项Register Globalsphp4.2.0,php.ini的register_globals选项的默认值预设为Off,当register_globals的设定为On时,程序可以接收来自服务器的各种环境变量,包括表单提交的变量,而且由于PHP不必事先初始化变量的值,从而导致很大的安全隐患.例1://check_admin()用于检查当前用户权限,如果是admin设置$is_admin变量为true,然后下面判断此变量是否为true,然后执行管理的一些操作//ex1.phpif (check_admin()){$is_admin true;}if ($is_admin){do_something();}?这一段代码没有将$is_admin事先初始化为Flase,如果register_globals为On,那么我们直接提交 http://www.sectop.com/ex1.php?is_admintrue,就可以绕过check_admin()的验证例2://ex2.phpif (isset($_SESSION[“username”])){do_something();}else{echo “您尚未登录!”;}?//ex1.php$dir $_GET[“dir”];if (isset($dir)){echo “;system(ls -al .$dir);echo “;}?mixed eval(string code_str) //eval注入一般发生在攻击者能控制输入的字符串的时候//ex2.php$var “var”;if (isset($_GET[“arg”])){$arg $_GET[“arg”];eval(“$var $arg;”);echo “$var ”.$var;}?
