Próbuję utworzyć skrypt AJAX, który przyjmie dwie zmienne GET, klasę i metodę, i zamapuje je na zaprojektowane przez nas metody (podobne do tego, jak CodeIgniter działa dla ajax, I jestem prawie pewien). Ponieważ polegam na danych wprowadzanych przez użytkownika w celu określenia klasy i metody wykonania, obawiam się, że haker może w jakiś sposób wykorzystać tę technikę na swoją korzyść.Bezpieczne wywoływanie funkcji opartej na wprowadzaniu danych przez użytkownika
Kod:
//Grab and clean (just in case, why not) the class and method variables from GET
$class = urlencode(trim($_GET['c']));
$method = urlencode(trim($_GET['m']));
//Ensure the passed function is callable
if(method_exists($class, $method)){
$class::$method();
}
Czy są jakieś wady lub bezpieczeństwa watch-out powinien być świadomy podczas korzystania z tej techniki?
Ten interfejs AjaxCallable był świetnym pomysłem, działa idealnie. Dzięki! – ACobbs
Cieszę się, że to zadziałało dla Ciebie :) –