标题:
使用dz的通行证passport时,需要强烈注意用户名过滤
[打印本页]
作者:
fangzhen
时间:
2008-12-29 11:30
标题:
使用dz的通行证passport时,需要强烈注意用户名过滤
使用dz的通行证passport时,需要强烈注意,在其api/passport.php里,用户名被过滤过一些特殊符号,具体的表现
if(strlen($memberfields['username'] = preg_replace("/(c:\\con\\con$|[%,\*\"\s\t\<\>\&])/i", "", $memberfields['username'])) > 15) {
$memberfields['username'] = substr($memberfields['username'], 0, 15);
}
所以会导致有特殊符号的用户无法登录,只要去掉替换就可以,不过考虑到安全,在数据post过来之前要对数据进行安全处理。
欢迎光临 PHP开发笔记 (http://phpvi.com/)
Powered by Discuz! 6.1.0