我需要在客户端网站中使用PHP函数替换一大堆PHP超级全局变量,以便从xss攻击中清除超级全局.

以下是原始代码的外观：

echo $_REQUEST['HELLO1'] . ' AND ' . $_REQUEST['HELLO2'];

我需要它看起来像这样：

echo MYCLASS::myfunction($_REQUEST['HELLO1']) . ' AND ' . MYCLASS::myfunction($_REQUEST['HELLO2']);

主要问题,我需要对超过100个文件进行搜索/替换！哎呀！

所以我的解决方案就是这个(在linux shell中)：

sudo sed -i 's/\$_REQUEST[.*\]/MYCLASS::myfunction(&)/g' *.PHP

这很好用 – 因为每行只发生一个“$_REQUEST”实例…但是对于多个实例,它会搞砸并执行此操作：

echo MYCLASS::myfunction($_REQUEST['HELLO1'] . ' AND ' . $_REQUEST['HELLO2']);

解决方法:

试试这个sed命令：

sed -i.bak 's/\$_REQUEST\[\([^]]*\)\]/MYCLASS::myfunction(\1)/g' *.PHP

或者在perl中：

perl -pe 's/\$_REQUEST\[([^]]*)\]/MYCLASS::myfunction(\1)/g' file.PHP