php - 允许用户传递方法名称和参数时, call_user_func_array 是否存在安全风险?
问题描述
这是官方示例:
class foo {
function bar($arg) {
echo __METHOD__, " got $arg\n";
}
}
$foo = new foo;
call_user_func_array(array($foo, "bar"), array("three"));
这是我的代码:
call_user_func_array(array($foo, $_POST["A"]), array($_POST["B"]));
我们可以控制 $_POST["A"] 和 $_POST["B"],$foo 可能是另一个类。
我的问题是“这安全吗?不会导致 RCE 问题吗?”
解决方案
推荐阅读
- python - 在 python3 中使用 python -m 选项将 python 脚本作为模块执行时出错
- .net - 如何自动填充xml?链接到 xml
- javascript - 当编辑日期引导日期选择器从前几年开始日期而不是当前年份时
- ios - 如何从类中为 EnvironmentObject 设置值?
- android - ViewPager 不膨胀片段
- java - 从内部切换 case 语句和运行方法
- dafny - Dafny:没有找到触发条件和随之而来的断言错误
- javascript - 表单中的输入或日期选择器禁用框
- pine-script - 具有多个 TF 说明的策略
- azure-machine-learning-service - 天蓝色机器学习工作区中的 Matchbox 推荐器