["money",[0,100],"请填写正确的金额",1,"between"]
这条校验规则,是用来限制用户输入的数值必须在0到100之间的
然而,因为PHP是弱类型,THINKPHP没有检验数据类型,而是直接进行了值比较,这样造成的问题就是这个校验失效,即用户可以输入任意字符串进行提交(因为任意字符串都会被转换为0,是符合这个校验规则的),进而造成可能的进一步攻击!
最佳答案
["money",[0,100],"请填写正确的金额",1,"between"]
这条校验规则,是用来限制用户输入的数值必须在0到100之间的
然而,因为PHP是弱类型,THINKPHP没有检验数据类型,而是直接进行了值比较,这样造成的问题就是这个校验失效,即用户可以输入任意字符串进行提交(因为任意字符串都会被转换为0,是符合这个校验规则的),进而造成可能的进一步攻击!