记没有判断 url 参数合法性的错误

用了一个生成网页缓存的组件,就是把网页保存到本地。
url 是 https://xxx.com/abc_464189,其中 abc_464189 是参数,没有判断参数的合法性,如果页面不存在还自定义了一个 404 页面,结果..

永远不要相信用户的输入

解决

if(!is_numeric($id)){
    abort(404);
}
if (!preg_match('/^[a-zA-Z_]+$/', $prefix)) {
    abort(404);
}
本作品采用《CC 协议》,转载必须注明作者和本文链接
welcome come back
《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
讨论数量: 2

咋不合并条件呢

if (!is_numeric($id) || !preg_match('/^[a-zA-Z_]+$/', $prefix)) {
    abort(404);
}
1年前 评论
php_yt (楼主) 1年前

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
未填写
文章
96
粉丝
24
喜欢
159
收藏
357
排名:316
访问:3.0 万
私信
所有博文
社区赞助商