in_array,最好将第三个参数设置为true
in_array,最好将第三个参数设置为true
不肥的小肥羊 发表于2年前
in_array,最好将第三个参数设置为true
  • 发表于 2年前
  • 阅读 13
  • 收藏 0
  • 点赞 1
  • 评论 0

腾讯云 新注册用户 域名抢购1元起>>>   

摘要: 任何放在SQL中使用参数都应该绑定或者防注入处理

公司某项目那边最新的注入是一个参数$type,这个参数值在
         $arrData = array(
                3,4,5,6,7,8,9,10
        );
        
这个数组里,用了in_array判断这个参数是否在数组里,但in_array有问题,如果$val的值为'3 or 1=1',返回的结果也为true。所以这个参数本身也还是需要intaval之后做PDO绑定或者防注入函数过滤;或者直接将in_array第三个参数设置为true

共有 人打赏支持
粉丝 2
博文 43
码字总数 9997
×
不肥的小肥羊
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: