最好的方式来显示其中哪一个是更好的
问题描述:
页
include("up.php");
content here
include("down.php");
up.php文件中包含的每一页了部分 down.php文件包含了每个页面的页脚部分
或
$sivu = $_GET['sivu'];
$sivu = str_replace("/", "", $sivu); //only this directory allowed
include("".$sivu.".php");
答
即使在Windows上,第一种解决方案易于阅读,易于调试并且非常安全。
第二种解决方案允许攻击者通过使用反斜杠(\)而不是斜线至少在Windows上执行任意文件。而且,这不必要的复杂。
+0
好的,谢谢!公认。 – Olli
如何比较两种不同的做法? – xdazz
他们在服务器端不是做同样的事情,而是在用户端做同样的事情。 – Olli