![]() |
1
2
您可以在不使用ReflectionXYZ类的情况下实现这一点
而且,只要您控制$this->实例是什么,这两种方法都是以相同的方式保存的。
印刷品
如果情况总是这样的话,你可能会想看看。有一个条目
印刷品
|
![]() |
2
1
首先, 你需要创建一个白名单。 您得到对象的已定义函数,然后检查发送给您的函数名是否在数组中,如果在数组中,则为good,否则,请忽略它。 您可以选择自动白名单,也可以选择配置的手动白名单。 您需要为所有传递的值创建一个Munging/Washing函数。 在一个州的例子中,州可以是CA,也可以是加利福尼亚,所以本质上,它必须preg_match(“/\w+/”),这样您就可以做一些简单的检查来验证数据。 如果你想花哨点,你可以允许人们创建一个名为allowedvalues的方法,它是函数name=>/regex/的散列映射,并将其用作有效的数据查找表。如果函数没有在类中定义,你可以使用只允许字符串/数字和特定长度的perhop的通用方法。
|
![]() |
3
0
允许用户输入PHP代码的选择很可能会受到一些攻击,因此风险肯定很高。如果您继续使用它,那么我考虑包括的一个检查是使您希望以这种方式访问的任何类实现一个特定的接口,并在执行之前检查该接口。这将防止以这种方式执行任意类,并将其限制为您特别允许的类。 一个更好的解决方案可能是使用所需的所有调用自动生成静态文件,这样您就可以明确地允许特定的操作,而不是试图再次猜测所有的漏洞可能在哪里。 |
![]() |
Ben · APK注入,重新编译android清单 6 年前 |
|
krupal · 我的Worpress站点主页中有人注入的脚本 6 年前 |
![]() |
Arzath Areeff · select语句的SQL注入方法 9 年前 |
![]() |
user3376905 · 插入没有src属性的代码? 10 年前 |
|
JohnnyVang · 将32位dll注入64位进程-自动使其成为可能? 11 年前 |
![]() |
REX · 很难解决sql注入php 11 年前 |