Справочник функций

Ваш аккаунт

Войти через: 
Забыли пароль?
Регистрация
Информацию о новых материалах можно получать и без регистрации:
RSS
ВКонтакте

Почтовая рассылка

Подписчиков: -1
Последний выпуск: 19.06.2015

Безопасность конструкции function_exists()

Web программирование
14K
09 октября 2007 года
netwom
20 / / 30.09.2006
Есть ли опасность в конструкции типа...
 
Код:
if (!empty($_REQUEST['do']))
{
    if (function_exists($_REQUEST['do']))
    {
        $func_name=$_REQUEST['do'];
        $func_name();  
    }
    else
        echo "function ".$_REQUEST['do'];
}

Посидел, подумал - вроде ничего опасного ей передать нельзя... Как кто думает?
По порядку
Сначала полезные
Сначала решения

7 ответов

353
09 октября 2007 года
Nixus
840 / / 04.01.2007
Еще как опасна. Убери лучше.
14K
09 октября 2007 года
netwom
20 / / 30.09.2006
Цитата: Nixus
Еще как опасна. Убери лучше.



А например? Мне тогда интересно, как это можно использовать.... разве что ....&do=phpinfo

9.7K
09 октября 2007 года
elrevin
31 / / 14.04.2006
лучше всетаки ограничь свободу пользователя, я не думаю что нормальному человеку понадобится вызывать все подряд...
353
09 октября 2007 года
Nixus
840 / / 04.01.2007
Цитата: netwom
А например? Мне тогда интересно, как это можно использовать.... разве что ....&do=phpinfo


Возможно стандартными функциями php урона мало можно нанести, т.к. любая функция вызывается без аргументов, но ты или кто-то другой, работающий над проектом, может написать функцию без параметров, которая делает какую-то критическую операцию.. и вуаля. Так что не стоит делать такие вещи.

276
09 октября 2007 года
Rebbit
1.1K / / 01.08.2005
Цитата: Nixus
Возможно стандартными функциями php урона мало можно нанести, т.к. любая функция вызывается без аргументов, но ты или кто-то другой, работающий над проектом, может написать функцию без параметров, которая делает какую-то критическую операцию.. и вуаля. Так что не стоит делать такие вещи.


Думаю что одной mysql_close без параметров вполне достаточно для большинства случаев :)

15
09 октября 2007 года
shaelf
2.7K / / 04.05.2005
2Rebbit mysql_close ты только себе навредишь)) Я не могу себе представить ситуацию, в которой она будет вредна)) Ну вызовешь ты её, ну не получишь контента :)))))) Хотя вызов метода из параметра это минимум плохая практика.
276
10 октября 2007 года
Rebbit
1.1K / / 01.08.2005
Цитата: shaelf
2Rebbit mysql_close ты только себе навредишь)) Я не могу себе представить ситуацию, в которой она будет вредна)) Ну вызовешь ты её, ну не получишь контента :)))))) Хотя вызов метода из параметра это минимум плохая практика.


Может я параноик, но ИМХО целесность данных нарушить ето проблема. Хотя ты прав - для грамотного скрипта потеря конекта не страшна.

Реклама на сайте | Обмен ссылками | Ссылки | Экспорт (RSS) | Контакты
Добавить статью | Добавить исходник | Добавить хостинг-провайдера | Добавить сайт в каталог