我要问的是前台怎么解决内部函数调用, // URL变量绑定到Action方法参数不开启的话是没问题的,他默认开启就必须注意权限了!加protected就行,内部函数调用,你也一个个去过滤检测,那你要写多少代码了。
在手册里我是没看到强调的地方,
function chuli(){
$this->index($shuju);
}
function index($shuju){//前面必须是public
}
然后访问
index.php?m=beiju&a=index&shuju[plugin][days]=365
$shuju会被赋值
我的用的是3.1.3
其中URL变量绑定到Action方法参数3.1新加的,
'URL_PARAMS_BIND' => false, // URL变量绑定到Action方法参数
新增的时候手册里也没说明啊,到底在哪,关于URL变量绑定到Action方法参数的!
不熟悉的人,我建议你关闭,因为他可以给你的任何操作方法通过get赋值!
这个方法不说清楚就是一个大漏洞。
加就加了你为啥要默认开启,开启了会有黑客漏洞通过url可以给action参数直接赋值的!我没注意这点,导致写的代码有漏洞(这是主要原因,就不应该那样写),被公司辞退,还罚款!!!!!今天找官方的人一个都不在。现在咋办,退出php队伍吧。。。
可能这也是开源的坏处吧!!还敢用开源的东西开发大项目嘛。。。
最佳答案
