昨天我参加了 PHP 开发人员职位的面试。我的工作是解决 15 个非常简单的测试问题。其中一个问题是决定是否应将类似于下面的代码视为不安全的。我给出了一个错误的答案(事实证明),而那次采访中其他人的论证非常令人惊讶(至少对我而言)。
代码是这样的:
function someFunction($a)
{
echo $a * 4;
}
someFunction($_GET['value']);
可能的答案是:
register_globals时,正确答案可得一分,对所选答案给出良好解释(论证)可得二分。
我的回答是第三:这段代码永远不会不安全。加上论证:因为,这只是一个简单的等式。这里没有文件或数据库操作,没有流、协议(protocol),什么都没有。这只是一个等式。没有其他的。攻击者无法对 PHP 脚本做任何错误,无论他或她将尝试执行格式多么错误的 URL 查询。没有机会。
我得了零分。我的回答既不正确,我的论点也不被采纳。正确答案是:此代码始终不安全——您应该始终转义您从 URL 查询中获得的内容。
我的问题是:这个观点真的好吗?我们真的必须始终使用经验法则,直接从查询中获取的任何内容都是不安全的,如果不以任何其他方式进行过滤、转义或保护的话?这是否意味着,我教我的学生一种不安全的编码方法,因为在第一次 PHP 讲座中,他们编写了一个用于计算三角形面积的脚本,并且他们在他们的任务中使用来自 URL 的未转义、未过滤的参数?
我明白,安全和编写安全代码应该是最优先考虑的事情。但是,另一方面,这不是一点点安全代码法西斯主义(请原谅我,如果我冒犯了某人)威胁任何不安全的代码,即使是没有人能够做到的有什么坏处吗?
或者也许我完全错了,你可以对与四次相呼应的功能造成一些伤害,你给了它什么?
最佳答案
问题是以后有人可能会更改函数“somefunction”并做更多的事情,而不是简单地将它乘以 4。
这个函数本身并没有不安全,但是这行:
someFunction($_GET['value']);
完全不安全。也许 someFunction 被重构到另一个文件中或者在代码中很低。
您应该始终检查和删除用户提供的数据,以保护您自己和其他在库或函数上工作的其他人不被捕获,不要期望您向他们传递纯 $_GET 数组数据。
在与他人合作时尤其如此,这也是面试中被问到的原因——看你是否展望 future 的潜在问题,而不是看你是否理解当前 someFunction 是传递可能危险的 GET 数据时无害。当您的同事重构 someFunction 以查询数据库表时,这就变成了一个问题。
关于php - 什么时候 PHP 代码真的应该被视为不安全的?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13093627/
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我有一个模型:classItem项目有一个属性“商店”基于存储的值,我希望Item对象对特定方法具有不同的行为。Rails中是否有针对此的通用设计模式?如果方法中没有大的if-else语句,这是如何干净利落地完成的? 最佳答案 通常通过Single-TableInheritance. 关于ruby-on-rails-Rails-子类化模型的设计模式是什么?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.co
如何在buildr项目中使用Ruby?我在很多不同的项目中使用过Ruby、JRuby、Java和Clojure。我目前正在使用我的标准Ruby开发一个模拟应用程序,我想尝试使用Clojure后端(我确实喜欢功能代码)以及JRubygui和测试套件。我还可以看到在未来的不同项目中使用Scala作为后端。我想我要为我的项目尝试一下buildr(http://buildr.apache.org/),但我注意到buildr似乎没有设置为在项目中使用JRuby代码本身!这看起来有点傻,因为该工具旨在统一通用的JVM语言并且是在ruby中构建的。除了将输出的jar包含在一个独特的、仅限ruby
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
在rails源中:https://github.com/rails/rails/blob/master/activesupport/lib/active_support/lazy_load_hooks.rb可以看到以下内容@load_hooks=Hash.new{|h,k|h[k]=[]}在IRB中,它只是初始化一个空哈希。和做有什么区别@load_hooks=Hash.new 最佳答案 查看rubydocumentationforHashnew→new_hashclicktotogglesourcenew(obj)→new_has
为什么4.1%2返回0.0999999999999996?但是4.2%2==0.2。 最佳答案 参见此处:WhatEveryProgrammerShouldKnowAboutFloating-PointArithmetic实数是无限的。计算机使用的位数有限(今天是32位、64位)。因此计算机进行的浮点运算不能代表所有的实数。0.1是这些数字之一。请注意,这不是与Ruby相关的问题,而是与所有编程语言相关的问题,因为它来自计算机表示实数的方式。 关于ruby-为什么4.1%2使用Ruby返
为了将Cucumber用于命令行脚本,我按照提供的说明安装了arubagem。它在我的Gemfile中,我可以验证是否安装了正确的版本并且我已经包含了require'aruba/cucumber'在'features/env.rb'中为了确保它能正常工作,我写了以下场景:@announceScenario:Testingcucumber/arubaGivenablankslateThentheoutputfrom"ls-la"shouldcontain"drw"假设事情应该失败。它确实失败了,但失败的原因是错误的:@announceScenario:Testingcucumber/ar
它不等于主线程的binding,这个toplevel作用域是什么?此作用域与主线程中的binding有何不同?>ruby-e'putsTOPLEVEL_BINDING===binding'false 最佳答案 事实是,TOPLEVEL_BINDING始终引用Binding的预定义全局实例,而Kernel#binding创建的新实例>Binding每次封装当前执行上下文。在顶层,它们都包含相同的绑定(bind),但它们不是同一个对象,您无法使用==或===测试它们的绑定(bind)相等性。putsTOPLEVEL_BINDINGput
我可以得到Infinity和NaNn=9.0/0#=>Infinityn.class#=>Floatm=0/0.0#=>NaNm.class#=>Float但是当我想直接访问Infinity或NaN时:Infinity#=>uninitializedconstantInfinity(NameError)NaN#=>uninitializedconstantNaN(NameError)什么是Infinity和NaN?它们是对象、关键字还是其他东西? 最佳答案 您看到打印为Infinity和NaN的只是Float类的两个特殊实例的字符串