【问题标题】:Why veracode detects that ini_set('auto_detect_line_endings') call contains an argument injection flaw?为什么 veracode 检测到 ini_set('auto_detect_line_endings') 调用包含参数注入缺陷?
【发布时间】:2016-09-12 12:09:44
【问题描述】:

在扫描 Drupal 代码时,我收到此消息“此调用包含参数注入缺陷。函数的参数是使用用户提供的输入构造的 没有适当地划定或消毒它。” 指的是:

$default_line_endings = TRUE;
ini_set('auto_detect_line_endings', (bool) $default_line_endings);

我在 Drupal 模块中内联使用它。 有什么想法可以避免这种情况吗?我需要这样使用该变量。

【问题讨论】:

    标签: php drupal-7 veracode


    【解决方案1】:

    这是一个安全警告,因为您的 ini 配置依赖于一个变量。

    虽然看起来变量的值实际上并不取决于用户的输入,但请考虑尝试以下操作:

    $default_line_endings = TRUE;
    ...
    ...
    
    if(!$default_line_endings)
        ini_set('auto_detect_line_endings', false);
    else
        ini_set('auto_detect_line_endings', true);
    

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2019-01-22
      • 2017-11-22
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2016-07-13
      • 2020-09-27
      相关资源
      最近更新 更多