in_array，最好将第三个参数设置为true

2019独角兽企业重金招聘Python工程师标准>>>

公司某项目那边最新的注入是一个参数$type,这个参数值在
         $arrData = array(
                3,4,5,6,7,8,9,10
        );
        
这个数组里，用了in_array判断这个参数是否在数组里，但in_array有问题，如果$val的值为'3 or 1=1',返回的结果也为true。所以这个参数本身也还是需要intaval之后做PDO绑定或者防注入函数过滤；或者直接将in_array第三个参数设置为true

转载于:https://my.oschina.net/731135090/blog/661621