PHP怎么解决登录安全隐患,PHP $_REQUEST数组安全隐患_PHP教程

最新推荐文章于 2021-04-14 11:15:53 发布
最新推荐文章于 2021-04-14 11:15:53 发布
阅读量61 收藏
点赞数
文章标签: PHP怎么解决登录安全隐患

大家都知道使用$_REQUEST可以直接省去了判断post,get一些代码,使用起来更简单,但是如果要详细的去想我们会觉得$_REQUEST太可怕了。下面看分析。

我们都知道,处理表单数据,可以使用PHP的$_GET和$_POST这两个超全局变量,具体是哪个由form表单提交时的method指定。除此之外PHP还为我们提供了$_REQUEST数组。但是其不仅包含$_GET和$_POST的所有数据元素,同时其还会包含$_COOKIE这个超全局数组的所有数据元素。

可是大家有没有想过,如果这三个数组里面的key相同,那么我用$_REQUEST得到的到底是哪个数组的值呢?会不会有什么问题?

我用如下代码为大家做演示,因为只是想说明问题,所以这里面不对$_COOKIE进行设置,请大家自行处理:

代码如下

复制代码

demo

当我提交表单的时候,我获取的页面内容为:

string(3) "xxx" string(3) "yyy" string(3) "yyy"

同样的内容,在$_REQUEST里面,POST的值覆盖了GET的值,这到底是怎么回事呢?

其实这是在PHP的配置文件里面设置的,让我们来看一下php.ini这个配置文件,在第466行左右有如下内容:

代码如下

复制代码

; This directive describes the order in which PHP registers GET, POST, Cookie,

; Environment and Built-in variables (G, P, C, E & S respectively, often

; referred to as EGPCS or GPC). Registration is done from left to right, newer

; values override older values.

variables_order = "EGPCS"

这个EGPCS就是说明用$_REQUEST数组获取内容的优先级,其字母的含义分别代表为:E代表$_ENV,G代表$_GET,P代表$_POST,C代表$_COOKIE,S代表$_SESSION。后面出现的数据会覆盖前面写入的数据,其默认的数据写入方式就是EGPCS,所以POST包含的数据将覆盖GET中使用相同关键字的数据。

$_REQUEST[]具用$_POST[] $_GET[]的功能,但是$_REQUEST[]比较慢。通过post和get方法提交的所有数据都可以通过$_REQUEST数组获得

http://www.bkjia.com/PHPjc/629664.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/629664.htmlTechArticle大家都知道使用$_REQUEST可以直接省去了判断post,get一些代码,使用起来更简单,但是如果要详细的去想我们会觉得$_REQUEST太可怕了。下面看分...

weixin_39887925
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php苹果系统播放flv视频播放器,【分享】【优化】苹果CMSV10播放器dplayer
weixin_35390150的博客
04-13 3万+
[PHP] 纯文本查看 复制代码dplayer增加记忆+P2P播放body,html{width:100%;height:100%;background:#000;padding:0;margin:0;overflow-x:hidden;overflow-y:hidden}*{margin:0;border:0;padding:0;text-decoration:none}#stats{posit...
php中$_REQUEST、$_POST、$_GET的区别和联系小结
12-19
PHP编程语言中,`$_REQUEST`、`$_POST` 和 `$_GET` 是三个非常重要的超级全局变量,它们用于处理客户端(通常是浏览器)发送到服务器的数据。理解这些变量的区别和联系是编写有效PHP脚本的关键。 1. `$_REQUEST` ...
网络安全——文件上传漏洞及防御
qq_39103818的博客
03-12 787
没有网络安全就没有国家安全 不知攻,焉知防 自动化网络防御体系 监控,比如网卡流量异常的时候,当CPU负载异常的时候 法律原因,不要对任何网站进行渗透扫描和漏扫,都属于有网络攻击的意向,属于犯法行为。 有专门的靶机 文件上传漏洞 没有经过后缀名的筛选,允许任何类的文件上传。 如果是一些php,asp的文件上传后,则相当于黑客直接拿到了webshell,还能通过中国菜刀之类的工具去控制这个网站。 1...
php $_REQUEST 数据错误
10-26 1460
通过REQUEST获取某数据的时候,一直跟前端传输过来的不一致。
request与在php安全,request导致的安全性问题分析
weixin_39699912的博客
04-14 414
说明最近在看P神之前分析的漏洞的文章,本篇文章就是记录看了P神的贷齐乐系统最新版SQL注入之后的一点体会和收获。本篇文章主要是要说明的是在PHP中由于对于$_REQUEST的认识不足或者是使用不当而导致的漏洞。目前漏洞类型主要是有两种,对$_REQUEST认识不足从而导致过滤失效,使用不当则指的存在HPP的漏洞从而导致全局WAF失效,这个漏洞也就是在P神文章中所说明的漏洞。$_REQUEST使用不...
php 登录验证 安全,简单的方法让你的后台登录更加安全(php中加session验证)
weixin_31486289的博客
04-09 460
本文将以Joomla!后台链接为例,讲解如何“修改”我们的后台链接,使其更加安全。原理:通过特定文件为后台入口注册session,否则失败退出。即直接使用原后台地址将无法登录后台。这样一来,入口文件名的多样性、可变更性将为你的后台登录提供更加安全的环境。一、入口文件:myadmin.php(文件名可随时更改)作用:注册session。源码如下:代码如下:...
php中使用$_REQUEST需要注意的一个问题
12-18
了解PHP的超级全局变量如`$_GET`、`$_POST`、`$_COOKIE`以及`$_REQUEST`的使用方式和特性,对于编写安全且可维护的PHP代码至关重要。每个变量都有其特定的用途: - `$_GET` 用于处理URL查询字符串中的参数,数据...
PHP超级全局变量【$GLOBALS,$_SERVER,$_REQUEST等】用法实例分析
10-15
然而,由于$_REQUEST可能同时包含不同类型的输入,这可能会导致安全问题,比如SQL注入。因此,最佳实践是优先使用$_GET和$_POST来分别处理GET和POST数据,以确保更严格的输入验证和数据过滤。 在实际开发中,理解并...
php几个预定义变量$_SERVER用法小结
10-25
`$_REQUEST`是一个全局数组,包含`$_GET`、`$_POST`和`$_COOKIE`中的所有变量,使得可以轻松地获取请求中的参数。在这里,`$_REQUEST['name']`指的是名为`name`的请求参数的值。 以上就是`$_SERVER`预定义数组中几...
php登陆验证安全,PHP验证登录状态和安全性
weixin_32703763的博客
03-19 180
固定的私钥来做salt其实不好,一旦私钥泄漏之后就很麻烦,而且最痛苦的其实是你不知道你到底有没有泄漏用户的密码字符串作为salt是更好的办法签名字符串:$sign = md5('$user_id+$user+_password[+浏览器UA[+IP地址[...]]]');里面爱加什么你可以自己发挥存储到cookie里面的字符串为$token = $user_id.','.$sign;然后你需要对用...
PHP验证登录状态和安全性
Ryan Z 的技术日志
07-25 3206
固定的私钥来做salt其实不好,一旦私钥泄漏之后就很麻烦,而且最痛苦的其实是你不知道你到底有没有泄漏 用户的密码字符串作为salt是更好的办法 签名字符串: $sign = md5('$user_id+$user+_password[+浏览器UA[+IP地址[...]]]'); 里面爱加什么你可以自己发挥 存储到cookie里面的字符串为 $token = $user
php登录安全设置,php 如何做保持登入 有关安全方面的详细说下
weixin_31318441的博客
03-10 178
需要说明的是,PHP的session也是用cookie实现的,保存在浏览器的cookie名称默认为PHPSESSID.这个session的cookie也是可以设置过期时间的,比如过期时间设置为3600秒:session_set_cookie_params(3600);这样关闭浏览器后在一小时内重新打开这个cookie依旧有效.PHP session是每一个PHPSESSID默认对应一个保存会话数据...
php7简短而安全的数组遍历方法
weixin_33670786的博客
02-11 374
在写 PHP数组遍历的时候,我们通常会这样写: foreach ($definition['keys'] as $id => $val) { // ... } 但是其实这样会引起一个重要的问题:如果$definition['keys']没有定义的话,这个时候的数组变量(也就是 foreach)就会出现错误。 所以,我们进阶成这个样子: if (!empty($defi...
PHP登录怎么写安全,PHP登录安全理念
weixin_39980711的博客
03-17 132
我有一个系统登录用户并验证他们在页面上登录的想法 .我意识到那里有很多系统,但我主要是好奇,如果我的想法是好的 . 我一直认为是重要的做法(如密码加密等) . 我真的使用了应用程序安全性,希望得到一些反馈 .当用户登录时,他们的名称和密码是根据数据库进行验证的,密码是使用SHA256和随机生成的盐加密的,整个字符串(盐和加密密码都是128个字符 . 长) . 这是密码验证码:function Va...
php登录安全设置,php 安全设置
weixin_35568959的博客
03-10 126
vi /etc/php.ini #编辑配置文件date.timezone = PRC #把前面的分号去掉,改为date.timezone = PRCdisable_functions=passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore...
php实现安全登录验证,开发安全的PHP登录和身份验证策略
weixin_35578381的博客
03-24 195
一些随意的想法:>如果我窃取了您的某个用户的cookie(通过在您的网站中注入一些JS代码使用XSS攻击)该怎么办?然后我将落入案例2.因此能够登录.恕我直言,如果你想要一个真正安全的身份验证,不要使用“记住我”类型的cookie来存储用户凭据.>如果您将凭据存储在cookie中,请不要将密码存储为明文.>检查HTTP_USER_AGENT是阻止会话劫持的良好的第一步,但也许你可...
php用户注册、登录、安全退出session
qq_42058441的博客
03-06 4246
1.数据库users.sql -- phpMyAdmin SQL Dump -- version 4.7.9 -- https://www.phpmyadmin.net/ -- -- Host: 127.0.0.1:3306 -- Generation Time: 2018-12-22 08:08:49 -- 服务器版本: 5.7.21 -- PHP Version: 5.6.35 SET ...
PHP开发一个完整、安全的用户登录系统
尚兴跃的备忘录
03-20 1033
在使用PHP编程的时候,我有一个习惯,不太喜欢使用现成的库文件,例如PHPLib或者其它类似的库,在这个系统中,我也打算自己写一个库文件,它需要处理认证、确认email,更新帐号(密码,email)等事情。     function user_change_email ($password1,$new_email,$user_name) {      global $feedback,$hid
PHP编程:理解并使用$_REQUEST数组
"$_REQUEST数组PHP中用于收集HTTP请求数据的一个全局数组,它结合了$_GET、$_POST和$_COOKIE数组中的数据。这意味着通过GET、POST或者Cookie传递的参数都可以通过$_REQUEST来获取,提供了方便的数据访问途径。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值