discuz 在处理全局变量上的一点安全技巧

最新推荐文章于 2021-08-05 11:09:25 发布
最新推荐文章于 2021-08-05 11:09:25 发布
阅读量1.5k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Discuz 文章标签: server null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tiangsu_php/article/details/7852529
本文介绍了Discuz系统中对全局变量的管理方式,通过定义一个包含常用超级全局变量的数组,并利用foreach循环来删除不在该数组内的全局变量,以此确保系统的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在source/class/discuz/discuz_application.php中有那么的一段代码:

var $superglobal = array(
		'GLOBALS' => 1,
		'_GET' => 1,
		'_POST' => 1,
		'_REQUEST' => 1,
		'_COOKIE' => 1,
		'_SERVER' => 1,
		'_ENV' => 1,
		'_FILES' => 1,
	);

这里列出了系统将要使用的的超级全局变量

再往下看

foreach ($GLOBALS as $key => $value) {
			if (!isset($this->superglobal[$key])) {
				$GLOBALS[$key] = null; unset($GLOBALS[$key]);
			}
		}

这里删除了不在$superglobal中所列出的全局变量。


004-WEB之PHP参数安全特性(register_globals的安全特性)
fiveseven的博客
08-23 320
004-WEB之PHP参数安全特性(register_globals的安全特性)
PHP中$GLOBALS[HTTP_RAW_POST_DATA]和$_POST的区别分析
12-19
本文分析了PHP中$GLOBALS[‘HTTP_RAW_POST_DATA’]和$_POST的区别。分享给大家供大家参考,具体如下: $_POST:通过 HTTP POST 方法传递的变量组成的数组。是自动全局变量$GLOBALS['HTTP_RAW_POST_DATA'] :总是产生 $HTTP_RAW_POST_DATA 变量包含有原始的 POST 数据。此变量仅在碰到未识别 MIME 类型的数据时产生。$HTTP_RAW_POST_DATA 对于 enctype=”multipart/form-data” 表单数据不可用。 也就是说基本上$GLOBALS[‘HTTP_RAW_POST
Discuz!全局变量介绍
11-14
Discuz全局变量介绍,适合有修改模版或者制作插件的朋友们。 Enjoy!
Discuz! 全局变量说明
weixin_30458043的博客
07-26 335
$_G 保存了 Discuz! 中所有的预处理数据 缓存能够很好的提高程序的性能,一些配置数据没必要每次都查询数据库,只要在修改了的时候更新下缓存即可。 Discuz! 中所有的缓存保存在 $_G[cache] 中 方法/步骤(1) 全局变量系统篇 $_G['uid'] => 当前登录UID $_G['username'] => 当前登录用户名 $_G['admi...
Discuz! 全局变量 $_G 详解
听荷的博客
04-15 1921
$_G 保存了 Discuz! 中所有的预处理数据 缓存能够很好的提高程序的性能,一些配置数据没必要每次都查询数据库,只要在修改了的时候更新下缓存即可。 Discuz! 中所有的缓存保存在 $_G 中 $_G 会员信息数据
PHP安全register_globals---PHP学习之路
冯先生
08-05 1139
一、什么是register_globals register_globals是php.ini里的一个配置,这个配置影响到php如何接收传递过来的参数. register_globals的值可以设置为:On或者Off 1、On和Off的区别 <form action='' method='get'> <input type='text' name='username' value='alex'...
Discuz!全局变量详细列表
weixin_33698043的博客
07-27 401
为什么80%的码农都做不了架构师?>>> ...
php $globals的用法,php 中global关键字和$GLOBALS用法
weixin_39632698的博客
03-19 206
首先我们先看一段代码
php中global和$GLOBALS[]的分析之一
一即全,全即一
02-14 932
PHP 的全局变量和 C 语言有一点点不同,在 C 语言中,全局变量在函数中自动生效,除非被局部变量覆盖 这可能引起一些问题,有些人可能漫不经心的改变一个全局变量。PHP 中全局变量在函数中使用时必须申明为全局(注意,Global这个关键字在函数中定义才有用)。  1:Global的作用是定义全局变量,但是这个全局变量不是应用于整个网站,而是应用于当前页面,
PHP中超全局变量$GLOBALS和global的区别
自强不息
10-19 270
一、超全局变量$GLOBALS PHP超全局变量有很多,如下的都属于超全局变量(Superglobal): $GLOBALS,$_SERVER,$_GET,$_POST,$_FILES,$_COOKIE,$_SESSION,$_REQUEST,$_ENV。 官方说明: $GLOBALS — 引用全局作用域中可用的全部变量。 一个包含了全部变量的全局组合数组。变量的名字就是数组的键。 即出...
$GLOBALS超级全局变量(PHP学习)
weixin_30443895的博客
08-14 143
1.$GLOBALS是一个数组,里面有所有的全局变量 2.$GLOBALS是超级全局变量,函数内部可以通过它直接操作全局变量。(严重不推荐,因为违反了封装原则) 3.通过$GLOBALS操作全局变量,会直接改变全局变量,因为$GLOBALS是引用传值的 转载于:https://www.cnblogs.com/ggbd-lie/p/3258431.html...
php中的全局变量$GLOBALS与global的区别
kbx8916的博客
10-25 360
php中的$GLOBALS与global的区别: 用$GLOBALS['index']可以直接引用全局变量。 如 $a=2; $b=3; function add() { $GLOBALS['z']=$GLOBALS['a']+$GLOBALS['b']; } echo $z; 因为$GLOBALS['index']中出现的z,所以就有了全局变量$z; $GLOBAL
php global 报错,关于PHP中global的问题
weixin_33019803的博客
03-20 306
小皮2017-04-11 09:08:223楼你声明的是一个全局变量,因为它是全局的,所以你在函数内或者函数外都可以删除它。删除后,无论你在函数内还是外,它都不存在了。注意:函数内外的都是同一个变量,指向同一个指针。声明一个全局变量后,它并不会在函数内和函数外各创建一个变量。补充:我的理解有误,楼下@咪蛾说的:global $var1;等于$var1=&$GLOBALS['var1'];是...
PHP中全局变量的使用global和$GLOBALS[]
IT密码
01-28 259
用PHP开发项目,不可避免的会使用到全局变量,比如一些网站的配置信息,全站通用,那就可以在一个地方设置,然后多个地方调用。把变量定义为全局变量可以有两种方法:global和$GLOBALS[]。很多人都认为global和$GLOBALS[]只是写法不同而已,其实是有差别的。 先来看看global php对global变量的解析是:Global的作用是定义全局变量,但是这个全局变量不是应用于...
Discuz 7.x、6.x 全局变量防御绕过导致代码执行
浅笑996的博客
11-25 1228
0x01 分析 由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致REQUEST中不再包含_REQUEST中不再包含R​EQUEST中不再包含_COOKIE,我们通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞。 具体原理请参考: https://www.secpulse.com/archives/2338.html 0x02 环境...
Python成功解决NameError: name ‘variable_cost‘ is not defined问题
weixin_44991673的博客
11-20 3613
原因一:在使用变量前,没有未定义变量 原因二:变量的作用域问题,设置全局变量 怎么解决“局部变量”和”全局变量“之间的矛盾呢?有几种方法可供参考, 第一种方法最取巧:把局部变量都放在函数外,变成全局变量。 第二种方法:使用global,global语句一般写在函数体的第一行,它会告诉Python,“我希望variable_cost是个全局变量,所以请不要用这个名字创建一个局部变量” ...
Discuz!开发之全局变量$_G详解
热门推荐
土著人宁巴的Discuz!专栏
04-09 1万+
$_G变量是程序的全局变量,为了使得程序更加高效,减少不必要的数据获取,所以程序特将经常需要用到的变量统一,放到$_G变量中,如用户登录信息、后台设置信息、服务器环境信息、客户端CooKies、数据缓存等都存放在G变量里面,在开发插件或者制作模板的时候只需要将G变量打印出来即可获得需要的信息是否在G变量里面。 $_G变量在source/class/discuz/discuz_applicatio
Discuz全局变量指南:详尽变量说明文档
全局变量Discuz! 中以 $G_ 开头命名,例如 $G_user 表示当前登录用户的信息,$G️ 表示系统信息,$G_thread 表示当前主题的信息,等等。这些变量是由 Discuz! 的核心代码在运行时动态生成的,用以减少模板中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值