discuz 在处理全局变量上的一点安全技巧

最新推荐文章于 2021-08-05 11:09:25 发布
最新推荐文章于 2021-08-05 11:09:25 发布
阅读量1.4k 收藏
点赞数
分类专栏: Discuz 文章标签: server null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tiangsu_php/article/details/7852529
版权

在source/class/discuz/discuz_application.php中有那么的一段代码:

var $superglobal = array(
		'GLOBALS' => 1,
		'_GET' => 1,
		'_POST' => 1,
		'_REQUEST' => 1,
		'_COOKIE' => 1,
		'_SERVER' => 1,
		'_ENV' => 1,
		'_FILES' => 1,
	);

这里列出了系统将要使用的的超级全局变量

再往下看

foreach ($GLOBALS as $key => $value) {
			if (!isset($this->superglobal[$key])) {
				$GLOBALS[$key] = null; unset($GLOBALS[$key]);
			}
		}

这里删除了不在$superglobal中所列出的全局变量。


神灵舞师
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
004-WEB之PHP参数安全特性(register_globals的安全特性)
fiveseven的博客
08-23 231
004-WEB之PHP参数安全特性(register_globals的安全特性)
Discuz!全局变量介绍
11-14
Discuz全局变量介绍,适合有修改模版或者制作插件的朋友们。 Enjoy!
Discuz! 全局变量说明
weixin_30458043的博客
07-26 283
$_G 保存了 Discuz! 中所有的预处理数据 缓存能够很好的提高程序的性能,一些配置数据没必要每次都查询数据库,只要在修改了的时候更新下缓存即可。 Discuz! 中所有的缓存保存在 $_G[cache] 中 方法/步骤(1) 全局变量系统篇 $_G['uid'] => 当前登录UID $_G['username'] => 当前登录用户名 $_G['admi...
Discuz! 全局变量 $_G 详解
听荷的博客
04-15 1816
$_G 保存了 Discuz! 中所有的预处理数据 缓存能够很好的提高程序的性能,一些配置数据没必要每次都查询数据库,只要在修改了的时候更新下缓存即可。 Discuz! 中所有的缓存保存在 $_G 中 $_G 会员信息数据
PHP安全register_globals---PHP学习之路
冯先生
08-05 952
一、什么是register_globals register_globals是php.ini里的一个配置,这个配置影响到php如何接收传递过来的参数. register_globals的值可以设置为:On或者Off 1、On和Off的区别 <form action='' method='get'> <input type='text' name='username' value='alex'...
Discuz_$_G全局变量
07-11
这个全局变量Discuz系统中扮演着至关重要的角色,它存储了论坛运行过程中的各种信息,便于开发者在模板和插件开发中快速获取和操作数据。下面我们将详细探讨$_G全局变量的含义、作用及常见应用。 1. $_G全局变量...
discuz全局变量
08-18
Discuz论坛系统中,全局变量扮演着重要的角色。这些变量不仅涵盖了系统的配置信息,还包含了用户的权限设置等关键数据。通过理解并合理运用这些全局变量,我们可以更加灵活地管理和扩展论坛的功能。 #### 二、...
Discuz! X2全局变量
04-28
全局变量Discuz! X2中扮演着至关重要的角色,它们提供了对当前环境、用户信息以及系统设置的直接访问,极大地简化了开发者的工作流程。本文将深入解析这些全局变量,并探讨其在不同场景下的应用。 #### 系统级...
Discuz!常用全局变量、函数参考手册和数据库每个表部分的作用[归类].pdf
10-11
1. **全局变量**:全局变量Discuz! 中用于存储和控制论坛的各种设置和用户权限。例如: - `$action` 代表当前的操作或动作,比如用户正在进行的浏览、发帖或回复等。 - `$adminid` 表示用户管理级别的ID,不同...
Discuz!全局变量详细列表
weixin_33698043的博客
07-27 356
为什么80%的码农都做不了架构师?>>> ...
php $globals的用法,php 中global关键字和$GLOBALS用法
weixin_39632698的博客
03-19 138
首先我们先看一段代码
php中global和$GLOBALS[]的分析之一
一即全,全即一
02-14 791
PHP 的全局变量和 C 语言有一点点不同,在 C 语言中,全局变量在函数中自动生效,除非被局部变量覆盖 这可能引起一些问题,有些人可能漫不经心的改变一个全局变量。PHP 中全局变量在函数中使用时必须申明为全局(注意,Global这个关键字在函数中定义才有用)。  1:Global的作用是定义全局变量,但是这个全局变量不是应用于整个网站,而是应用于当前页面,
PHP中global关键字和$GLOBALS用法
coco1118的博客
09-16 246
global关键字 $a = 1 ; $b = 2 ; function Sum () { global $a , $b ; $b = $a + $b ; } Sum (); echo $b ; $GLOBALS用法 $a = 1 ; $b = 2 ; function Sum () { $GLOBALS [ 'b' ] = ...
Web安全-XSS漏洞
道阻且长,行则将至。
01-07 8534
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。XSS是一种经常出现在Web应用中的计算机安全漏洞,也是Web中最主流的攻击方式。那么什么是XSS呢?本文将进行学习、介绍。
PHP中超全局变量$GLOBALS和global的区别
自强不息
10-19 218
一、超全局变量$GLOBALS PHP超全局变量有很多,如下的都属于超全局变量(Superglobal): $GLOBALS,$_SERVER,$_GET,$_POST,$_FILES,$_COOKIE,$_SESSION,$_REQUEST,$_ENV。 官方说明: $GLOBALS — 引用全局作用域中可用的全部变量。 一个包含了全部变量的全局组合数组。变量的名字就是数组的键。 即出...
$GLOBALS超级全局变量(PHP学习)
weixin_30443895的博客
08-14 95
1.$GLOBALS是一个数组,里面有所有的全局变量 2.$GLOBALS是超级全局变量,函数内部可以通过它直接操作全局变量。(严重不推荐,因为违反了封装原则) 3.通过$GLOBALS操作全局变量,会直接改变全局变量,因为$GLOBALS是引用传值的 转载于:https://www.cnblogs.com/ggbd-lie/p/3258431.html...
php中的全局变量$GLOBALS与global的区别
kbx8916的博客
10-25 322
php中的$GLOBALS与global的区别: 用$GLOBALS['index']可以直接引用全局变量。 如 $a=2; $b=3; function add() { $GLOBALS['z']=$GLOBALS['a']+$GLOBALS['b']; } echo $z; 因为$GLOBALS['index']中出现的z,所以就有了全局变量$z; $GLOBAL
php globals_PHP $ GLOBALS(超级全局变量),带有示例
cumtb2002的博客
07-09 2197
php globals PHP $全球 (PHP $GLOBALS) PHP $GLOBALS is the only superglobal that does not begin with an underscore (_). It is an array that stores all the global scope variables. PHP $ GLOBALS是唯一不以下划线( _...
SERVER全局变量绕过
最新发布
09-03
SERVER全局变量的绕过是指通过某种方式绕过服务器端的检查,直接访问或修改服务器的全局变量。在PHP中,设置register_globals选项为开启时,可以将EGPCS(Environment, Get, Post, Cookie, Server)变量注册为全局变量,使其可以在脚本中直接使用。然而,这种设置是不安全的,因为它会导致全局变量被恶意用户操控,从而引发安全漏洞。 在最新的PHP版本中,如PHP 5.3.x系列,$_REQUEST是一个超全局变量,其值受php.ini中request_order的影响。而在某些特定的设置下,比如Discuz! 6.x/7.x中,php.ini的设置request_order的默认值为GP,这就导致了全局变量的防御绕过漏洞。恶意用户可以通过构造特定的请求,绕过服务器端的检查,直接访问或修改服务器的全局变量。这样就可能导致安全问题,例如未经授权的访问和执行恶意代码。 因此,为了防止SERVER全局变量的绕过,应该遵循安全的编程实践,避免使用register_globals选项,以及及时更新PHP版本以修复可能存在的安全漏洞。此外,对于Discuz!等开源软件,也应该及时更新到最新版本,以获得最新的安全修复。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [绕过全局变量防御导致代码执行](https://blog.csdn.net/weixin_55541277/article/details/118015567)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Discuz! 6.x/7.x 全局变量防御绕过导致命令执行](https://blog.csdn.net/weixin_42361708/article/details/115651776)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值