草庐IT

assisted-inject

全部标签

php - htmlspecialchars 是否足以防止对用单引号引起来的变量进行 SQL 注入(inject)?

尽管许多来源引用带有ENT_QUOTES的htmlspecialchars函数不足以防止SQL注入(inject),但它们都没有提供证明概念。我自己想不出任何可能性。让我们考虑以下示例:$username=htmlspecialchars($_GET['name'],ENT_QUOTES,'UTF-8');$sql="SELECT*fromuserWHEREname='$username'";mysql_query($sql,...);除了SQLinjectiongetsaroundmysql_real_escape_string()的情况之外,任何人都可以提供一个例子吗??
引号htmlspecialcharscodesection39phpsqlsecuritysql-injection

php - 如何清理 $_GET 变量以防止路径注入(inject)?

清理$_GET['']请求的最佳方法是什么?我只想允许从一个目录下载文件。$baseDir="/home/html/xy.com/public_html/downloads/";$path=realpath($baseDir.$_GET['file']);下一步是什么? 最佳答案 这是我在你那里的台词之后要做的:if(dirname($path)===$baseDir){//Safe}http://php.net/dirname基本上,在发送任何文件之前先检查文件是否确实在您支持的那个路径中。请注意,您还必须在文件名前添加您自己的/
以防injectcodesectionbaseDirphpsecurity

php - Mockery 和 Laravel 构造函数注入(inject)

我正在使用带有php单元的laravel5来创建一个laravel包。我有一个Repository..namespaceMyname\Myapp\Repositories;useMyname\Myapp\Models\PersonModel;classPersonRepository{protected$personModel;publicfunction__construct(PersonModel$personModel){$this->personModel=$personModel;}publicfunctiontestFunction($var){return$this->p
MockeryLaravelcodePersonModelMynamephpphpunit

php - Symfony - 依赖项未注入(inject)我的实体监听器类

我的Autowiring不适用于基本的文件实体监听器。我有一个File实体类,它使用注释来指定监听器,例如:/**@Orm\Entity(repositoryClass="root\CoreBundle\Repository\FileRepository")@Orm\EntityListeners({"root\CoreBundle\EventListener\Entity\FileEntityListener"})@Orm\Table(etc...FileEntityListener类开始如下:classFileEntityListener{private$encoderFactor
监听器SymfonysectionFileEntityListenerphpdependenciescode-injectionautowired

php - 在 Eclipse 中为不同的 PECL 扩展启用 PHP Code Assist

我在我的PHP环境中使用了一些PECL安装的扩展。我正在使用Eclipse进行开发,让Eclipse的代码辅助/自动完成支持这些扩展会很有用。此过程对Solr非常有效扩展名:我还下载了最新的solr-phpPECLsources并将它们放入单独的文件夹中。我将这个特定文件夹作为“外部文件夹”添加到我的一个用户库中(Prefrences->PHP->PHPLibraries)。我将用户库添加到项目的php包含路径(属性->PHP包含路径->库->添加库)我立即在编辑器的自动完成中获得了新的类/方法。问题是:这似乎不适用于所有扩展。例如对于extension为PHP添加MongoDB支持。
EclipseAssistsectionphpnoreferrerautocompletepecl

php - 如何使用 phpunit 为某些测试套件注入(inject)环境变量?

在phpunit.xml中可以定义环境变量:现在,我想要多个测试套件,而不是一个。我喜欢为每个FOO设置不同的值,所以我想我可以这样做:unitFunctionalunitFunctionalItdoesn'tseempossibletonestphpinsidetestsuiteblock.所以我目前无法为某个测试套件注入(inject)特定变量。我看到的唯一另一个明确的选择是为每种情况定义多个phpunit.xml文件,但这会导致大量代码重复,我想避免。还有其他方法可以将环境变量注入(inject)phpunit测试套件吗? 最佳答案
phpunitinjectcodegtdirectoryphpunit-testingenvironment-variables

php - 如何在 Yii2 中将接口(interface)注入(inject) Controller 的构造函数

我想注入(inject)接口(interface)app\models\IFooprivate$foo;publicfunction__construct($id,$module,IFoo$foo,array$config=[]){parent::__construct($id,$module,$config);$this->foo=$foo;}我应该如何设置容器以正确解决实现IFoo的具体类app\models\Foo中的依赖关系? 最佳答案 尝试在入口脚本中这样调用它:\Yii::$container->set('app\mod
何在Controllercodesectionmodelsphpdependency-injectioninterfaceyii2

php - Laravel DI : call controller method without passing injected variable, 这可能吗?

classSomeControllerextendsController{publicfunctiondoALot(Request$request){$this->doOne($someOtherVariable);//Typeerror:Argument1passedtoApp\Http\Controllers\SomeController::doOne()mustbeaninstanceofIlluminate\Http\Request$this->doOne($request,$someOtherVariable);//Badpractice?...}publicfunction
controllerinjectedcoderequestphplaravel

php - 向构造函数注入(inject)多个参数是不好的做法吗?

我正在开发一个相当复杂的物流管理系统,该系统将不断发展成为其他几个与ERP相关的模块。因此,我正在尝试尽可能多地采用SRP和开放/关闭原则,以便于扩展和基于域的管理。因此,我决定使用Laravel和以下模式(不确定是否有名称):我将使用PRODUCT对象作为示例。一个对象/实体/域有一个类类ProductService{}这个类有一个ServiceProvider,它包含在providers数组中,也是自动加载的:ProductServiceServiceProvider服务提供商实例化(制作)作为接口(interface)的ProductRepository。该接口(interfac
做法injectcodeprotectedServicesphplaravellaravel-4constructorservice-provider

php - PHP 的 addslashes 容易受到 sql 注入(inject)攻击吗?

这个问题在这里已经有了答案:关闭10年前。PossibleDuplicate:Whatdoesmysql_real_escape_string()dothataddslashes()doesn't?我一直在查看关于PHP的addslashes函数如何/为什么易受sql注入(inject)攻击的文章。我读过的所有内容都说特定的mysql编码类型(default-character-set=GBK)存在问题,或者如果启用了magic_quotes则存在问题。但是,在这种情况下,我无法突破addslashes()函数并执行一些恶意操作-例如以管理员身份登录。$user=addslashes(
addslashesinjectsectionmysqlphp
45464748495051