php - 动态类型语言和远程方法调用

标签 php mysql flash apache-flex

有些人可能知道可以从 Flash 远程调用 PHP 方法。 有时远程 PHP 方法的输入参数是一个整数数组。 因为 PHP 是动态类型的,所以攻击者可以传递任何数组。 必须在 SQL 查询中使用整数数组。 目前我正在防止这样的注入(inject):

foreach ($unsafeArray as $value)
    $safeArray[] = (int)$value;

你会推荐什么?也许我应该开始使用 Java :D

最佳答案

您可以使用:$aSafeArray = array_map('intval', $aUnsafeArray); 来确保所有传递的值都是整数。

我的建议是开始使用 prepared statements ! 示例:

$o->bindParam(':anint', $iInt, PDO::PARAM_INT);

关于php - 动态类型语言和远程方法调用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6183841/

上一篇:php - 使用 BETWEEN 时更正 SQL Select 语句

下一篇:java - 在单个查询中获取最后一次插入 mysql 的时间戳以及主键?

相关文章:

php - 如何使用 codeigniter 登录 facebook

php - Free Fat Framework a Select with ILIKE Postgresql Statement

c# - C#计算Flv和Swf的宽高

javascript - 我可以使用 JavaScript 来完成与 Adob​​e Flash 相同的操作吗?

php - php中的显式接口(interface)实现

php - PHP:检查键值不为空

mysql - 如何将产品链接到数据库中的各种彩色照片

php - 客户无法登录 magento

mysql - 添加没有外键约束的索引性能提升

c# - 从查询字符串中获取 U+fffd/65533 而不是特殊字符

©2024 IT工具网  联系我们