Ben önce benim programcılar biriyle konuşuyordum ve bana o düşündüğünü kod parçasını gösterdi:

foreach($_REQUEST as $var=>$val) {
    $$var = addslashes($val);
}

O $varName yerine yazmak zorunda kullanmak mümkün istedim $_REQUEST['varName']

Bu hackerlar bir eklemek vektörü verir çünkü ben mysql_real_escape_string yerine addSlashes kullanımı ve yerel yığına $_REQUEST değişkenleri koymak değil onu tavsiye etti. Bana o eski REGISTER_GLOBALS direktifi vardı aynı sorun gibi görünüyor.

O, bu değişkenlerin tüm yerel yığın üzerinde oluşturulan ediliyordu çünkü aynı güvenlik riskleri olmadığını söyledi. Yani belirsiz oldu ve ben de PHP değişken değişkenler sayfasını kontrol: http://www.php.net/manual/en/language.variables.variable.php ama Süper Globals ve güvenlik sonra diğer uyarı kutusunda hiçbir başvuru gördüm.

Hackerlar kolayca yapının yararlanabilir?