记没有判断 url 参数合法性的错误

用了一个生成网页缓存的组件,就是把网页保存到本地。
url 是 https://xxx.com/abc_464189,其中 abc_464189 是参数,没有判断参数的合法性,如果页面不存在还自定义了一个 404 页面,结果..

永远不要相信用户的输入

解决

if(!is_numeric($id)){
    abort(404);
}
if (!preg_match('/^[a-zA-Z_]+$/', $prefix)) {
    abort(404);
}
本作品采用《CC 协议》,转载必须注明作者和本文链接
welcome come back
《L03 构架 API 服务器》
你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程,JWT 概念及使用 和 API 开发相关的进阶知识。
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 2

咋不合并条件呢

if (!is_numeric($id) || !preg_match('/^[a-zA-Z_]+$/', $prefix)) {
    abort(404);
}
4周前 评论
php_yt (楼主) 4周前

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
未填写
文章
87
粉丝
22
喜欢
145
收藏
327
排名:342
访问:2.7 万
私信
所有博文
社区赞助商