本文发现ThinkPHP 2.2.1版本中thinkTemplate::parseXmlTag()函数存在问题,即不判断magic_quotes_gpc设置就直接调用stripslashes()去除转义字符。此外还介绍了PHP preg_replace()函数的e修饰符功能。
在thinkphp2.2.1的thinkTemplate::parseXmlTag();中发现问题,不用判断magic_quotes_gpc就直接用stripslashes();函数去除字符串中的转义字符
在php.net官网手册中有以下这段话
模式修饰符
e(preg_replace_eval)如果这个修饰符设置了,preg_replace()在进行了对替换字符串的后向引用替换之后,将替换后的字符串作为php代码评估执行(eval函数方式),并使用执行结果作为实际参与替换的字符串。单引号,双引号,反斜线(\)和NULL字符在后向引用替换时会被用反斜线转义
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
