在日常的开发中，安全性一直是我们要研究的重点内容之一。而在安全性中，最主要的一点就是我们的输入数据。所有的攻击和越权，都是从一个不经意间遗留的请求漏洞发生的。当然，现在很多框架已经为我们解决了大部分的安全性问题，但百密一疏，总会有意想不到的地方忘了加过滤或者遗漏了某些验证。今天我们要学习的这个扩展就是为我们解决这种问题而诞生的。

上篇文章中就得到过，我们还要介绍一个鸟哥的扩展工具，Taint这个扩展就是鸟哥大神的作品之一。不过这个扩展是不推荐安装在生产环境的，它主要的战场是在我们的测试环境中使用。它的主要功能就是如果我们使用了未经处理的\_GET、_POST、_COOKIE之类的变量，就会报出警告信息。注意，只是警告，而不是错误或者异常。一般在线上环境我们都会习惯性地关掉警告信息的报错，所以这个扩展在线上的功能有限。

扩展的安装非常简单，下载对应的扩展然后进行普通的扩展安装即可，不需要额外的其它操作系统中组件的支持。对于这个扩展的详细信息，可以参考文末第二条链接中鸟哥文章的说明。

php.ini中打开扩展，然后设置taint.enable=1。就正式启用这个扩展了。然后我们通过代码来测试。

a=_GET[a];file_name=/tmp.a;output="Wel
转载请注明原文网址：http://www.coolofsoul.com/cksc/cksc/24282.html