La simplicité de la sécurité PHP est magnifique

La simplicité est belle

La complexité engendre des erreurs, et les erreurs peuvent conduire à des failles de sécurité. Ce simple fait illustre pourquoi la simplicité est si importante pour une application sécurisée. Une complexité inutile est tout aussi néfaste qu’un risque inutile.

Par exemple, le code suivant est extrait d'un récent avis de vulnérabilité de sécurité :

CODE :

  <?php
 
  $search = (isset($_GET[&#39;search&#39;]) ?
$_GET[&#39;search&#39;] : &#39;&#39;);
 
?>

Ce processus peut confondre le fait que la variable $search est entachée*, en particulier pour les développeurs inexpérimentés. La déclaration ci-dessus est équivalente au programme suivant :

CODE :

 
  <?php
 
  $search = &#39;&#39;;
 
  if (isset($_GET[&#39;search&#39;]))
  {
    $search = $_GET[&#39;search&#39;];
  }
 
  ?>

Les deux flux de traitement ci-dessus sont exactement les mêmes. Veuillez maintenant faire attention aux phrases suivantes :

  $search = $_GET['search'];

L'utilisation de cette instruction garantit que l'état de la variable $search reste intact sans affecter le processus, et on peut également voir si elle est contaminée.

* Annotation : Une variable contaminée signifie que lors de l'exécution du programme, la valeur de la variable n'est pas directement spécifiée par l'instruction d'affectation, mais provient d'autres sources, telles qu'une entrée de console, une base de données, etc.

Ce qui précède est le contenu de PHP Security - Simplicity is Beautiful Pour plus de contenu connexe, veuillez prêter attention au site Web PHP chinois (www. php.cn) !