Ist der folgende Code sicher?Ist es sicher, DateTime() von GET zu erstellen?
$d = new DateTime($_GET["date"]);
AFAIK gibt es keine direkten Möglichkeiten, Datumsformat-String für bösartige Zwecke zu verwenden. Es kann jedoch einige Besonderheiten in verschiedenen Betriebssystemen geben, also - würden Sie eine zusätzliche Überprüfung hinzufügen, um sicherzustellen, dass das Datum genau wie yyyy-mm-dd
aussieht?
Ich benutze beide PHP5.6 & PHP7.
Es hängt davon ab, was Sie vorhaben, mit '$ d' zu tun nächsten – vaultboy
Sie sollten immer für das Datumsformat überprüfen, aber nicht nur aus Sicherheitsgründen (hier es gibt nicht viel Sicherheitsproblem), aber um Ihre Logs "zu managen" ... können Sie eine bessere Nachricht geben, dass "unerwarteter String in __construct() ...", falls das Format falsch ist ... – Random