ThinkPHP V5.0.2 请求变量过滤不成功,可SQL注入

浏览:2213 发布日期:2016/10/30
5.0.0 - 严重 - 已处理
环境:composer 最新ThinkPHP V5.0.2,PHP5.6//form表单
<INPUT type="hidden" name="admin" value="password=0&admin=1">
<INPUT type="hidden" name="item[info][]" value="0/?:&admin=1" >
按照手册里做http://www.kancloud.cn/manual/thinkphp5/118044,不知道是否没有使用正确,在以下三个方法中过滤特殊字符都不成功,返回原字符串“password=0&admin=1”//全局变量过滤
use think\Request;
$aa = Request::instance()->filter('htmlspecialchars');
//获取变量的时候添加过滤方法
use think\Request;
$bb = Request::instance()->post('admin','','htmlspecialchars'); 
//助手函数过滤
$cc = input('post.', '', 'htmlspecialchars');
$dd = input('post.admin', '', 'htmlspecialchars');
评论(
后面还有条评论,点击查看>>