php的一个函数使用注意

最新推荐文章于 2022-09-13 21:26:50 发布
最新推荐文章于 2022-09-13 21:26:50 发布
阅读量94 收藏
点赞数
分类专栏: hacker 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wcf1987/article/details/84153556
版权

         php中有一个函数extract(),不少人都使用过,但是这个函数时间上存在一个小小的隐患,如果使用不当可能会造成安全上的问题。

extract定义 写道
PHP extract() 函数从数组中把变量导入到当前的符号表中。

对于数组中的每个元素,键名用于变量名,键值用于变量值。

第二个参数 type 用于指定当某个变量已经存在,而数组中又有同名元素时,extract() 函数如何对待这样的冲突。

本函数返回成功设置的变量数目。

 一般第二个参数我们都会懒得设置,这样实际上存在一个变量覆盖的问题,由于这个函数的隐蔽性,很多时候我们会忽略掉它的危害性,结果就会造成黑客通过对数组元素的控制,或者说伪造,直接可以覆盖掉已经存在的某些变量,可以导致多种问题,包括本地包含漏洞,sql注入漏洞(通过这个函数很容易绕过变量检查),而且由于它的隐蔽性,很多人会忽略掉。明显的一个例子

   

乌云上的一个报告 写道
http://www.wooyun.org/bugs/wooyun-2010-03990

 就是phpcms中的这个问题,而且通过对phpcms v9代码的查阅,里面错误使用extract的地方还有很多。这是值得程序员注意的一个问题。 

wcf1987
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一个PHP中调用另一个php函数,php调用函数 php如何调用函数
weixin_39567870的博客
03-12 2809
php如何调用函数?1.递推 2.回归递推: 递推为正向的推导,即从前向后的分析问题,寻找递推的条件。 1-3求和为例 sum(1) = 1 0 sum(2) = 2 1 sum(3) = 3 2 1 可发现 sum(1) = 1 0 sum(2) = 2 sum(2-1) sum(3) = 3 sum(3-1) 这样一来把求 sum(3) 转为求su...
php system函数用法,system函数如何使用?总结system函数实例用法
weixin_29982199的博客
03-20 4617
这篇文章主要简单分析了linux下system函数,具有一定的参考价值,感兴趣的小伙伴们可以参考一下简单分析了linux下system函数的相关内容,具体内容如下intlibc_system (const char *line){if (line == NULL)/* Check that we have a command processor available. It mightnot be ...
php 函数注意点(1)
vgqulk27的专栏
10-28 442
PHP中include与require使用方法区别详解 这两种结构除了在如何处理失败之外完全一样。include()产生一个警告而 require() 则导致一个致命错误。换句话说,如果想在遇到丢失文件时停止处理页面就用 require()。include()就不是这样,脚本会继续运行。同时也要确认设置了合适的 include_path。注意在 PHP 4.3.5 之前,包含文件中的语法错误不会
编辑一个matlab函数,matlab怎么自定义函数
weixin_39526459的博客
03-16 2487
matlab怎么自定义函数?matlab自定义函数建立一个函数的M文件步骤:1,在命令窗口中输入edit,弹出一个函数编辑框用于你自定义一个函数2,函数的建立:格式为function空格f=myfun(x,y),这里f是你函数的输出,myfun是你这个函数函数文件名(这个名字你可以自己随便订的),然后括号里边的就是你的输入。如这个函数:function f=myfun(x1,x2)f=x1*x2...
PHP基础知识 - PHP函数大全
Chon.Wang
07-20 6139
PHP函数
一篇文章带你理解php中的函数
Demo不是emo的博客
09-13 1945
今天是学习php的第四天,而今天的主要内容也是php中极其重要的一部分,那就是函数,希望大家看了这篇文章之后能对php中的函数一个基础的了解
PHP入门-函数的定义与使用
热门推荐
天地炫舞的博客
12-18 1万+
本文介绍PHP开发中函数的定义与使用: 1、函数的定义 (1)常规函数使用function关键字定义函数,不用指定返回值类型 例如: function test(){ } (2)内部函数:不能直接调用,只有当外部函数先被调用后才能调用: 例如:
php的自定义函数返回值,php自定义函数的返回值详解
weixin_29138345的博客
03-09 1866
在定义函数时,函数名后面括号中的参数列表是用户在调用函数时用来将数据传递到函数内部的接口,而函数的返回值则将函数执行后的结果返回给调用者。如果函数没有返回值,就只能算一个执行过程。只依靠函数做一些事情还不够,有时更需要在脚本程序中使用函数执行后的结果。由于变量的作用域的差异,调用函数的脚本程序不能直接使用函数体里面的信息。前面讲解了php自定义函数的参数在函数间传递的三种方式,这里我们主要讲解ph...
php date 函数用法,PHP日期时间函数date()使用方法
weixin_39819393的博客
03-11 1万+
PHP中的date()函数,可以说是PHP预设函数使用频率比较高的一个函数,下面我们就说一说,关于date()函数的所有的用法php date()函数定义PHP Date() 函数把时间戳格式化为更易读的日期和时间。语法date(format,timestamp);参数:format:必需。规定时间戳的格式。timestamp:可选。规定时间戳。默认是当前时间和日期。php格式化并输出日期1、P...
PHP使用( )函数来定义常量,PHP学习_常量
weixin_42389770的博客
04-03 2299
1、常量可以理解为值不变的量,常量被定义后,在脚本的任何地方都不能改变。2、一个常量由英文字母、下划线和数字组成,且数字不能放在首位。3、在PHP中用define()函数来定义常量,格式为1define(String constant_name,mixed value,case_sensitive=true);constant_name:必选,标识符,常量名称value:必选,值case_sens...
php array_merge函数使用需要注意一个问题
10-24
主要介绍了php array_merge函数使用需要注意一个问题,本文讲解array_merge合并数组时不会合并数字键名的问题,大家使用时需要注意,需要的朋友可以参考下
PHP callback函数使用方法和注意事项
10-24
主要介绍了PHP callback函数使用方法和注意事项,本文讲解了callback函数的一些使用技巧和避免事项,并给出了一个使用实例,需要的朋友可以参考下
PHP使用array函数新建一个数组
12-19
`array()`是PHP中的一个语言构造,而非传统意义上的函数,用于创建新的数组。它的语法非常直观,允许通过逗号分隔的列表来定义数组元素。每个元素可以由`key => value`的形式定义,其中`key`是索引,`value`是对应的...
PHP IN_ARRAY 函数使用注意事项
01-20
另外,我们在 控制结构比较两个数值是否一直的时候,也应该尽量使用 === 来代替 ==(当然,这个也根据具体的业务逻辑选用比较合适的)。 小弟来解释下 为什么 var_dump(in_array(0, array(‘s’ )); 这句话的结果是...
python 反编译 pyc 一些心得
ice
09-06 2881
0x01 , 现在用python的人也多了起来,代码安全始终是我们要考虑的问题,比如说我们要将我们的成果发布出去,py直接发布肯定是不行的(除非你是开源的),那么我们就只能考虑发布pyc文件了,     0x02,今天讨论的就是怎么反编译pyc到源代码的技术,从道理上来讲,这个是完全没问题的,而且反编译出来的代码质量应该相当高才对(参考java class的原理),在百度里面搜索的话,信息量...
密码字典
ice
02-16 1744
这是我根据前一段各种密码门做的一个密码字典(大概通过3亿多账号统计出来的,当然有重复,也有数据不规整),我给大家放出来一部分高频密码统计  ...
metasploit 图形化界面和自动化exploit脚本
ice
10-21 1683
0x01 最新版的metasploit没了图形化界面,              armitage开始收费              那我们就选用msfgui吧,安装简单                https://raw.github.com/scriptjunkie/msfgui/master/msfgui-installer.exe               下载安装就可以了 ...
ewebeditor 3.8 任意文件上传漏洞解析
ice
11-09 1154
   首先这个是别人早都发出来的一个漏洞,exp也写好了,如下 <title>eWebeditoR3.8 for php任意文件上EXP</title> <form action="" method=post enctype="multipart/form-data"> <INPUT TYPE="hidden" name="MAX_F
APKTool签名的一个问题
ice
10-14 714
0x01 昨天写了反编译,今天就写下签名的问题   0x02 apktool的重打包功能大家都知道,堪称神器,各类破解人事必备之良器,          用法不多说,只说签名容易遇到的问题 0x03 创建私钥仓库这个事情就不多说,方法很多,eclipse和keytool       都有类似功能         需要注意的是,这个私钥仓库一共有两个密码,一个是私钥仓库的密码(stor...
php一个加密函数
最新发布
08-10
PHP中有许多不同的加密函数可供使用,我将选择使用常见的哈希函数来实现一个简单的加密函数。 首先,我们需要选择一个合适的哈希算法。SHA-256是一个常用的安全哈希算法,因此我们将使用它来加密数据。 我们可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值