我已经在我的PHP类中通过AJAX调用了以下代码:
PHP:
class Ajax extends Controller {
private $class;
private $method;
private $params;
function __construct()
{
$this->params = $_POST; // Call params
$call = explode('->', $this->params['call']);
$this->class = new $call[0]; // e.g. controller->method
$this->method = $call[1];
array_shift($this->params);
$this->parse();
}
public function index()
{
//Dummy
}
public function parse()
{
$r = '';
$r = call_user_func_array(array($this->class, $this->method), $this->params);
echo $r;
}
}
客户:
function creditCheck2(id)
{
$.post(ROOT + 'Ajax', {call: 'Record->creditState', id: id, enquiryid: enquiryId}, function(data) {
alert(data)
}, 'json')
}
它看起来很好用,但它安全吗?它会更好吗?
仅供参考,我添加了我的代码,其中包含了答案建议的更改:
class Call extends Controller {
private $class;
private $method;
private $params;
private $authClasses = array(
'Gallery'
);
function __construct()
{
$this->params = $_POST; // Call params
$call = explode('->', $this->params['call']);
if(!in_array($call[0], $this->authClasses))
{
die();
}
$this->class = new $call[0]; // e.g. controller->method
$this->method = $call[1];
unset($this->params['call']);
$this->parse();
}
public function parse()
{
$r = '';
$param = array();
// Params in any order...
$mRef = new ReflectionMethod($this->class, $this->method);
foreach($mRef->getParameters() as $p) {
$param[$p->name] = $this->params[$p->name];
}
$this->params = $param;
if($r = @call_user_func_array(array($this->class, $this->method), $this->params))
{
echo $r;
}
else {
}
}
}
小问题
更好的是array_shift($this->params)
不必要地假设params数组中的第一个项将始终是call
。这不是真的,这与您刚才所做的直接访问$this->params['call']
不一致。应将array_shift
替换为简单的unset($this->params['call'])
。
更大的问题
还有一个问题是,params数组中的值顺序必须与您试图调用的方法的签名中的参数顺序匹配。我不认为有保证的顺序将与AJAX请求中参数的顺序相同,所以这是一个理论问题。
非常大的问题
更重要的是,这种操作方式迫使AJAX代码的作者匹配您试图调用的方法的签名中的参数顺序这引入了可怕的耦合水平,是一个主要问题更糟糕的是,错误地更改参数的顺序将不明显。考虑:
public function bankTransfer($fromAccount, $toAccount, $amount);
$.post(ROOT + 'Ajax', {
call: 'Bank->bankTransfer',
from: "sender",
to: "recipient",
amount: 42
}, function(data) { ... });
这是可行的。但是如果你做这个
$.post(ROOT + 'Ajax', {
call: 'Bank->bankTransfer',
to: "recipient", // swapped the order of
from: "sender", // these two lines
amount: 42
}, function(data) { ... });
你会得到与预期相反的结果。我相信很明显,这是非常糟糕的。
为了解决这个问题,您必须使用反射来将$this->params
中的数组键与所调用方法的参数的形式名称相匹配。
安全性
最后,此代码是不安全的,因为任何人都可以发出请求,指示您的代码使用适当的参数调用任何类的任何方法,甚至是不应该从web环境访问的方法。
这是另一个严重的问题,除非在调度逻辑中引入某种类型的过滤,否则无法真正解决。
它看起来很好用,但它安全吗?它会更好吗?
您是使用自己的框架还是使用其他框架?我认为,如果攻击者知道你的框架内可能有什么,那么它根本不安全。例如:您的框架中有数据库类,攻击者可以执行以下操作:
{call: 'Database->execute', sql: 'SELECT * FROM information_schema.`tables`'}
过滤
您可以限制允许用户访问的类的数量。例如:
if (!in_array($this->class, array('Record', 'Hello'))) {
die();
}
反射
这是我刚刚学到的反思样本(感谢@Jon的参考)。这解决了以不同于PHP函数的顺序传递参数的问题。
class Email
{
public function send($from, $to, $msg) {
return "Send $from to $to: $msg";
}
}
$rawParam = array('msg' => 'Hello World',
'to' => 'to@gmail.com',
'from' => 'from@gmail.com');
$param = array();
// Rearrange
$methodRef = new ReflectionMethod('Email', 'send');
foreach($methodRef->getParameters() as $p) {
$param[$p->name] = $rawParam[$p->name];
}
var_dump($rawParam);
var_dump($param);