PHP中常用函數(shù)的漏洞有什么

本篇內(nèi)容主要講解“PHP中常用函數(shù)的漏洞有什么”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強。下面就讓小編來帶大家學(xué)習(xí)“PHP中常用函數(shù)的漏洞有什么”吧!

PHP中常用函數(shù)的漏洞：

• extract變量覆蓋漏洞

• extract函數(shù):將變量從數(shù)組導(dǎo)入當(dāng)前符號表。在一些mvc框架中會有它的蹤影

• extract函數(shù)的定義: int extract(array,extract_ rules,prefix)

• extract0函數(shù)將檢查每個鍵名是否為合法的變量名,同時也檢查和符號表中已存在的變量名是否沖突。對不合法和沖突的鍵名的處理將根據(jù)此參數(shù)決定。

extract_rules :

• EXTR_ OVERWRITE -默認(rèn)。如果有沖突,則覆蓋已有的變量。

• EXTR_ SKIP -如果有沖突,不覆蓋已有的變量。

• EXTR_ PREFIX. SAME -如果有沖突.在變量名前加上前綴prefix.

• EXTR_ PREFIX. ALL -給所有變量名加上前綴prefix.

• EXTR_ PREFIX. INVALID -僅在不合法或數(shù)字變量名前加上前綴prefix.

• EXTR_ IF. EXISTS -僅在當(dāng)前符號表中已有同名變量時.覆蓋它們的值。其它的都不處理。

• EXTR_PREFIX_IF _EXISTS -僅在當(dāng)前符號表中已有同名變量時.建立附加了前綴的變量名其它的都不處理。

• EXTR_REFS -將變量作為引用提取。導(dǎo)入的變量仍然引用了數(shù)組參數(shù)的值。

我們以代碼為例演示extract函數(shù)對當(dāng)前覆蓋表的影響：

我們首先建立一個文件，比如當(dāng)前覆蓋表中有一個name，然后我們輸出這個變量，

<?php
$name = '好久不見';
echo $name;
?>

代碼結(jié)果如下：

然后我們使用extract函數(shù)，然后我們定義一個數(shù)組，默然情況下是會覆蓋當(dāng)前覆蓋表中的變量，也就意味著我們剛剛寫的《好久不見》會被覆蓋掉，代碼如下：

<?php
$name = '好久不見';
extract(array('name'=>'再見'));
echo $name;
?>

代碼結(jié)果如下：

到此，相信大家對“PHP中常用函數(shù)的漏洞有什么”有了更深的了解，不妨來實際操作一番吧！這里是億速云網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！