Question

采用参数白名单过滤，在可预测满足正常业务的参数情况下，这是非常实用的方式，这里的白名单并不是说完全固定为参数，因为在 eval()、assert() 和 preg_replace() 函数的参数中大部分是不可预测一字不差的，我们可以结合正则表达式来进行白名单限制，用上面的 thinkphp 来举例，如果我们事先已经知道这个 URL 里面的第二个参数值由数字构成即可满足业务需求，则可以在正则里用\d+来限制第二个参数内容，这样相对更加安全，用代码举例更加清晰易懂，代码如下：

<?php

preg_replace （ '/ （ \w+ ） \| （ .* ） /ie' ， '$\\1="\\2" ； ' ， $_GET['a'] ）；？ >

这段代码是有问题的，只要提交/1.php？a=b|${@phpinfo()}即可执行 phpinfo() 函数，这时候如果我们知道\\2 的值范围为纯数字，只要正则改成（\w+）\|（\d+）即可解决执行代码的问题，这只是一种修复方案，最好的方法是：在$\\1="\\2"这里不要用双引号。